在測(cè)試過(guò)這個(gè)exploit后發(fā)現(xiàn),其實(shí)研究后我們可以發(fā)現(xiàn)可以在所有Win2000和WinXP上的RET地址,這就解決了判斷目標(biāo)系統(tǒng)版本的問(wèn)題,直接可以使用一種數(shù)據(jù)包成功攻擊所有Win2000/WinXP。
我們只要簡(jiǎn)單的修改一下該exploit, 使之能自動(dòng)產(chǎn)生隨機(jī)IP地址,然后對(duì)這個(gè)IP進(jìn)行攻擊嘗試,就可以完成worm的攻擊模塊?;蛘吣憧梢韵壬梢粋€(gè)隨機(jī)的C類(lèi)地址,然后掃描這個(gè)C段里有多少機(jī)器是開(kāi)放135端口的,然后從掃描結(jié)果里取數(shù)據(jù),并對(duì)這個(gè)IP實(shí)行攻擊嘗試,可以加快傳播的速度。這些其實(shí)修改起來(lái)其實(shí)非常的容易。
2. 通過(guò)過(guò)替換攻擊代碼的shellcode部分,愛(ài)好者很容易能夠在目標(biāo)機(jī)器上執(zhí)行任意命令和功能。比如簡(jiǎn)單的在主機(jī)上添加一個(gè)管理員用戶,開(kāi)一個(gè)shell端口,反連一個(gè)shell或者使計(jì)算機(jī)自動(dòng)從某一個(gè)FTP或者HTTP服務(wù)器自動(dòng)程序并執(zhí)行等。然后想要進(jìn)一步深入,就可以在采用合適完美的shellcode上來(lái)做文章,達(dá)到最大的傳播效果。如exec command shellcode, bind port shellcode, connect back shellcode, down file and exec shellcode, down url file and exec shellcode等,你容易在網(wǎng)上找到它,如hsj的ida溢出exploit里就有一個(gè)down file and exec shellcode等。這個(gè)有匯編基礎(chǔ)的攻擊者很容易實(shí)現(xiàn)。這里對(duì)上面談到的shellcode類(lèi)型分別做一個(gè)簡(jiǎn)單的比較,以找出RPC DCOM最可能利用的傳播途徑?!?
a. 通過(guò)添加一個(gè)管理員用戶,可以很容易的用Netbios共享來(lái)遠(yuǎn)程共享傳播文件。但有對(duì)防火墻過(guò)濾了Netbios或者主機(jī)上不存在共享的情況下,不大好利用,而且,RPC DCOM 的攻擊代碼溢出后獲得的是system權(quán)限,想直接通過(guò)shellcode或者的程序來(lái)遠(yuǎn)程用Netbios拷貝文件比較困難,需要有一個(gè)system to user的權(quán)限轉(zhuǎn)換模塊,所以為了更高效的利用這個(gè)漏洞,達(dá)到傳播快和速度大的 RPC DCOM 蠕蟲(chóng)不大可能利用這種技術(shù)。
b. 直接把命令寫(xiě)進(jìn)shellcode里的話,簡(jiǎn)單快捷。甚至可以把所有需要用到的功能全寫(xiě)進(jìn)shellcode里去,如年初掃蕩全球的sql worm, 把攻擊,感染,傳播三個(gè)模塊寫(xiě)到短短的200多個(gè)16進(jìn)制代碼里字節(jié)里實(shí)現(xiàn)。同樣可以在里面加上程序并執(zhí)行等功能。
c. 簡(jiǎn)單的開(kāi)一個(gè)bind port shell, 你可以執(zhí)行系統(tǒng)命令,比如echo寫(xiě)入一個(gè)腳本FTP站點(diǎn)里的程序并執(zhí)行,甚至直接用TFTP程序等。這種方法執(zhí)行命令,很簡(jiǎn)單,但每次攻擊需要有兩個(gè)連接,對(duì)系統(tǒng)開(kāi)銷(xiāo)比較大,而且可能受防火墻的影響也比較大,不宜采取?!?
d. 反連的shellcode跟bind port shell差不多,不過(guò)這個(gè)可以把反連的這個(gè)監(jiān)聽(tīng)端口做成一個(gè)server形式,以便于接受多個(gè)連接,然后自動(dòng)對(duì)每一個(gè)連接發(fā)送一些指令,使機(jī)器能完成傳播。這個(gè)其實(shí)也是不錯(cuò)的,能突破不少防火墻,唯一的就是對(duì)禁止任何反連的防火墻沒(méi)什么好辦法。
e. 還記得hsj的ida溢出的exploit吧,該exploit監(jiān)聽(tīng)一個(gè)端口,對(duì)目標(biāo)溢出攻擊成功后,目標(biāo)系統(tǒng)反連攻擊機(jī)的這個(gè)端口接受一個(gè)指定的文件并保存在本機(jī)硬盤(pán)上,然后執(zhí)行,這其實(shí)跟反連shellcode差不多,只是一個(gè)是反連一個(gè)shell,另一個(gè)是反連回來(lái)取文件。這應(yīng)該是蠕蟲(chóng)作者考慮中的傳播途徑。
f. 把程序放在某一個(gè)域名或者IP的FTP/HTTP站點(diǎn)里,所有感染的機(jī)器從這里取程序,到本地后執(zhí)行。這種方法的好處是實(shí)現(xiàn)簡(jiǎn)單,而且可以很好的繞過(guò)防火墻,因?yàn)榇蠖鄶?shù)的網(wǎng)絡(luò)還是允許往外訪問(wèn)21/80端口的,而且可以很好的控制worm的版本和傳播,把文件刪掉就不會(huì)感染其他機(jī)器了,一般用于小規(guī)模感染。因?yàn)榇笠?guī)模感染的情況下,第一個(gè)倒下的是你的FTP/HTTP服務(wù)器。:)
g. Redcode/nimda的tftp程序方法,可以用在防火墻沒(méi)有屏蔽udp的網(wǎng)絡(luò)情況下,缺點(diǎn)是tftp傳送文件太慢。居于Redcode/nimda的成功先例,這應(yīng)該是蠕蟲(chóng)作者考慮中的傳播途徑。
h. 你自己自由發(fā)揮想象力...
3. 如果RPC DCOM蠕蟲(chóng),采用結(jié)合以上各種方法的優(yōu)勢(shì),就可以完善一個(gè)能突破大多數(shù)防火墻的繁殖方式來(lái),以使蠕蟲(chóng)能更好更快的得到傳播,通過(guò)結(jié)合利用Redcode和nimda的相關(guān)技術(shù),利用Redcode和nimda相同的tftp傳播方法,嘗試從攻擊IP里tftp里一個(gè)程序,如果成功的話就執(zhí)行,如果不成功,可以反連至該攻擊IP的某一個(gè)端口接受文件,如果再不成功,可以開(kāi)一個(gè)端口接收文件,再不成功,可以從FTP/HTTP站點(diǎn)文件...不過(guò)也得考慮你的shellcode的長(zhǎng)度哦,呵呵。更多的,你自己自由發(fā)揮想象力...
4. 加大蠕蟲(chóng)傳播的途徑,還可以考慮nimda的email, html, netbios共享等方法來(lái)進(jìn)行繁殖和傳播,做到這一點(diǎn)就可以把RPC DCOM做成一個(gè)繼nimda后的第二個(gè)超級(jí)蠕蟲(chóng)。
5. 甚至可以結(jié)合病毒技術(shù),感染exe文件,加大傳播途徑,做到這一點(diǎn),RPC DCOM worm肯定是一個(gè)超過(guò)nimda的超級(jí)蠕蟲(chóng)。
6. 功能模塊中,還可以加上木馬功能或者DDoS功能,比如所有感染的機(jī)器同時(shí)向whitehouse,microsoft或者其他網(wǎng)站網(wǎng)站進(jìn)行DDoS攻擊,以完成更大的殺傷力。
十 RPC DCOM 蠕蟲(chóng)爆發(fā)前的防治工作
1. 為自己的主機(jī)打上微軟發(fā)布的相關(guān)修補(bǔ)補(bǔ)丁。下面為補(bǔ)丁的相關(guān)下栽地址 :
Windows NT 4.0 Server:
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
2. 向用戶宣傳此漏洞的嚴(yán)重性和被蠕蟲(chóng)利用的危害性,促使用戶修補(bǔ)該漏洞。
3. 在自己的路由器上封掉 TCP/135,UCP/135,甚至 TCP/139,UDP/139,TCP/445,UDP/445等RPC DCOM能利用的相關(guān)端口, 以阻斷蠕蟲(chóng)的攻擊和傳播。
*** 花了兩小時(shí)來(lái)寫(xiě)這篇文章, 此文僅用于表達(dá)我對(duì) RPC DCOM 蠕蟲(chóng)的設(shè)想! :) ***
