《CSNA網(wǎng)絡(luò)分析認(rèn)證專家實戰(zhàn)案例》課件-第21章

第21章飛客蠕蟲研究21.1案例背景 21.2分析過程 21.3參考文檔

飛客蠕蟲是近兩年感染率最高的蠕蟲。我們在實際工作中發(fā)現(xiàn)很多起感染飛客蠕蟲的事件。

飛客蠕蟲是英文conficker的中文發(fā)音。該蠕蟲最早發(fā)現(xiàn)于2008年12月，利用微軟的MS08-067漏洞發(fā)起攻擊。該蠕蟲病毒自發(fā)現(xiàn)后，在1年的時間內(nèi)出現(xiàn)了5個主要變種，功能和隱蔽性比原始程序有很大提升。21.1案例背景飛客蠕蟲感染最多的就是中國大陸地區(qū)，網(wǎng)上看到一則2010年10月份的新聞，平均每個月內(nèi)有1800萬PC感染了飛客蠕蟲(見圖21-1)。最高時，根據(jù)國家計算機(jī)應(yīng)急指揮中心公布的數(shù)據(jù)，全國有近10%的PC感染了該蠕蟲。由此我們也可以看出國內(nèi)的PC安全意識很淡薄，其實只要簡單地更新下系統(tǒng)，打上相關(guān)補(bǔ)丁，就不會感染該蠕蟲。

圖21-1

研究任何病毒木馬，最好的方式的就是主動感染該病毒木馬，然后跟蹤其行為。本文也是以這種思路來進(jìn)行對飛客蠕蟲的研究。研究之前的工作如下：

(1)準(zhǔn)備一臺沒有打上MS08-067補(bǔ)丁的XP系統(tǒng)的主機(jī)，在此我們使用較早的SP2版本，然后安裝到一臺虛擬機(jī)上。

21.2分析過程

(2)從互聯(lián)網(wǎng)上尋找飛客蠕蟲的各種版本，主要以C、D、E這三個版本為主，因為后來版本功能較強(qiáng)大，通信行為也很復(fù)雜。這項準(zhǔn)備工作最為困難，因為找到合適的樣本是比較不容易的，在此我們推薦一個網(wǎng)站：。該網(wǎng)站是國外比較專業(yè)的木馬病毒樣本網(wǎng)站，不過需要較嚴(yán)格的用戶注冊條件。

(3)在虛擬機(jī)上安裝科來2010旗艦版，準(zhǔn)備做好抓包工作。

(4)準(zhǔn)備完畢后，將下載的樣本在本機(jī)上運行，然后進(jìn)行抓包。設(shè)置好過濾器保證抓到的數(shù)據(jù)是比較純凈的，不要使用該XP系統(tǒng)作任何網(wǎng)絡(luò)操作，在連續(xù)抓包幾個小時后停止，進(jìn)行數(shù)據(jù)分析。

感染飛客蠕蟲后的主機(jī)會禁止系統(tǒng)訪問各種殺毒廠商的網(wǎng)站和相關(guān)安全信息內(nèi)容，所以，根據(jù)這個屬性我們可以檢查一下是否已經(jīng)中了飛客蠕蟲。點擊鏈接“/cfeyechart.html”，我們看到圖21-2所示信息。

圖21-2與圖21-3所示相比較，排名上面一行的是各安全廠商的圖片鏈接，表明本機(jī)已中了飛客蠕蟲。

圖21-3對抓包的數(shù)據(jù)進(jìn)行分析，可以了解其行為。

首先，蠕蟲成功運行后會向指定的域名發(fā)送請求。該蠕蟲每天嘗試從50000個域名中隨機(jī)挑選500個域名，以試圖與惡意軟件制造者通信，因此會產(chǎn)生大量的奇怪的域名解析，如圖21-4所示。

圖21-4這些域名google和百度的搜索結(jié)果都是零，也就是說，是極冷僻的域名，如圖21-5所示。

圖21-5成功解析了這些域名后，“肉雞”(也稱傀儡機(jī)，表示被黑客遠(yuǎn)程控制的機(jī)器)開始向這些解析后的地址發(fā)起HTTP請求，以獲得最新更新的程序和指令等，這些HTTP請求的URL比較異常，見圖21-6。

圖21-6此外，本次使用的D樣本還采用了點對點(P2P)機(jī)制，使它能夠從其他已經(jīng)感染Conficker.D的計算機(jī)中分配和接收命令。因此，我們可以看到大量的向互聯(lián)網(wǎng)上中了蠕蟲病毒的PC發(fā)起的連接，如圖21-7所示的矩陣視圖。

圖21-7如此，我們可以看到飛客蠕蟲的威力，它可以從50000個不同的域名隨機(jī)選取500個進(jìn)行解析，取得與黑客控制者的連接及下載其他節(jié)點信息，然后向其他中了飛客蠕蟲的節(jié)點進(jìn)行P2P連接，取得版本信息及黑客指令，這樣不僅能夠隱藏控制者的IP，而且還使飛客蠕蟲建立起來的僵尸網(wǎng)絡(luò)更加健壯(P2P方式的連接方式不會因為失去一個控制者而使整個僵尸網(wǎng)絡(luò)瓦解)。飛客蠕蟲的傳播性極強(qiáng)，如果內(nèi)網(wǎng)中有一臺PC因為訪問含病毒網(wǎng)站，或含木馬郵件等方式感染了飛客蠕蟲，那么局域網(wǎng)其他有漏洞的主機(jī)感染的概率基本是100%。飛客蠕蟲對內(nèi)網(wǎng)其他PC的入侵和感染主要是通過網(wǎng)絡(luò)共享方式進(jìn)行。而且，飛客蠕蟲還可以通過其他硬件載體，比如U盤、移動硬盤等方式進(jìn)行傳播。網(wǎng)絡(luò)共享是Windows比較方便的一個利用網(wǎng)絡(luò)共享文件的方式，但給用戶帶來便利的同時也帶來了很大的隱患，局域網(wǎng)內(nèi)的兩大攻擊手段就是ARP感染和網(wǎng)絡(luò)共享破解。飛客蠕蟲是使用網(wǎng)絡(luò)共享破解最多的蠕蟲病毒之一，我們可以從其他的攻擊數(shù)據(jù)上面進(jìn)行驗證。

我們發(fā)現(xiàn)網(wǎng)絡(luò)中存在大量的CIFS和NetBIOS協(xié)議，而且這些協(xié)議流量不是很大，但TCP會話數(shù)卻很大，如圖21-8和圖21-9所示。

圖21-8

圖21-9這種會話具有明顯的暴力破解行為，可以通過“數(shù)據(jù)流”選項來仔細(xì)對比。我們隨機(jī)選擇兩個12個數(shù)據(jù)包的CIFS協(xié)議的數(shù)據(jù)流進(jìn)行對比發(fā)現(xiàn)，其內(nèi)容只有密碼部分在改變，如圖21-10和圖21-11所示。

圖21-10

圖21-11根據(jù)其他安全資料，可以找出其嘗試密碼的列表，見圖21-12。通過列表我們可以發(fā)現(xiàn)，這些密碼都是比較常見的密碼，因此設(shè)置一個比較復(fù)雜的隨機(jī)的密碼是非常重要的。

圖21-12如果局域網(wǎng)內(nèi)某臺有漏洞的PC感染了飛客蠕蟲，在傳播過程中碰到其他PC是弱密碼或根本沒有密碼，那么被入侵就是遲早的事情了。

飛客蠕蟲的危害：

導(dǎo)致個人機(jī)密信息被竊取，如QQ密碼、銀行賬號、個人或公司保密文件等。感染局域網(wǎng)內(nèi)其他主機(jī)，強(qiáng)大的傳播性使其他虛弱的PC受到感染，造成大面積的感染。大面積感染后會使大量消耗防火墻等設(shè)備的網(wǎng)絡(luò)并發(fā)連接，影響其他PC的正常業(yè)務(wù)訪問(FireWall的并發(fā)連接數(shù)是固定的，如果幾十臺PC感染了飛客蠕蟲，其產(chǎn)生的并發(fā)連接可能會消耗掉防火墻大多數(shù)連接數(shù)，從而導(dǎo)致正常用戶也受到影響，這樣就會出現(xiàn)帶寬足夠但訪問也會比較慢的情況)。防護(hù)：

規(guī)范用戶的上網(wǎng)行為，陌生郵件和危險網(wǎng)站要禁止打開和訪問。

個人PC要及時升級微軟更新補(bǔ)丁，所謂“蒼蠅不叮無縫蛋”就是這種道理。飛客蠕蟲就是針對微軟的一個漏洞，如果打了補(bǔ)丁修補(bǔ)了該漏洞，那么感染飛客蠕蟲的概率就會很低了。

個人用戶如果發(fā)現(xiàn)網(wǎng)絡(luò)訪問速度慢，或是發(fā)現(xiàn)比較多的網(wǎng)絡(luò)連接，也或是發(fā)現(xiàn)自己的殺毒軟件無法正常工作時，可以使用測試頁面測試是否感染了飛客蠕蟲，測試頁面為/cfeyec