• کاربر مهمان ،حجم مصرفی اینترت و دانلود شما از این انجمن به صورت نیم بها محاسبه می گردد. جهت ارسال پاسخ یا سوال در انجمن ،نیازی به ثبت نام ندارید . در صورتی که این سایت مورد توجه و رضایت شما قرار گرفته است ،لطفا با عضویت در سایت ،به جمع ما بپیوندید .
منتظر افتتاح فروشگاه اینترنتی جدید ما باشید . فروشگاه AZAX به زودی افتتاح خواهد شد .

مهران چمنی

مدیریت کل سایت
عضو کادر مدیریت
مدیریت کل انجمن ها
مدیریت کل فروشگاه
عضویت
21 October 2015
ارسال ها
841
لایک ها
804
محل سکونت
مشهد / شهر عشـــق
با کرم بلستر بيشتر آشنا شويم !

کرم جديدی که W32.Blaster نا ميده می شود طی روزهای اخير بشدت گسترش و توانسته است تعدادی بسيار زيا دی از کامپيوترها را آ لوده نمايد . کرم فوق، دارای اسامی ديگری نظير : W32/Lovsan.worm ، WORM_MSBLAT.A و Win32.Posa.Worms می باشد.

تاريخ کشف : يازدهم اگوست 2003 . کامپيوترهائی که قبلا" از Patch امنيتی MS03-026 استفاده نموده اند در مقابل ويروس فوق، مصونيت خواهند داشت .
نحوه توزيع : توزيع کرم فوق، از طريق پورت های باز RPC انجام می شود . سيستم ها پس از آلودگی به ويروس فوق، راه اندازی مجدد شده و يا فايل msblase.exe بر روی آنان وجود خواهد داشت .
جرئيات فنی : RPC)Remote Procedure Call) ، پروتکلی است که توسط سيستم عامل ويندوز استفاده می گردد . RPC ، يک مکانيزم ارتباطی را ارائه و اين امکان را فراهم می نمايد که برنامه در حال اجراء بر روی يک کامپيوتر قادر به اجراء کد موجود بر روی يک سيستم از راه دور گردد . پروتکل RPC از پروتکل OSF)Open Software Foundation) مشتق شده و مايکروسافت امکانات اضافه ای را به آن اضافه نموده است .
در بخشی از پروتکل فوق يک نقطه آسيب پذير وجود داشته که در ارتباط با پيام های مبادله شده بر روی TCP/IP است .
مشکل بوجود آمده ناشی از عدم بررسی ( برخورد ) مناسب پيام های ناقص است . اين ضعف امنيتی باعث تاثيرگذاری يک اينترفيس DCOM)Distributed Component Object Model) با RPC می گردد( گوش دادن به پورت های فعا ل RPC ).
ايترفيس فوق ، باعث بررسی درخواست های فعال شی DCOM ارسال شده توسط ماشين سرويس گيرنده برای سرويس دهنده می گردد . يک مهاجم که امکان استفاده موفقيت آميز از ضعف موجود را کسب نمايد، قادر به اجراء کد با مجوزهای محلی سيستم بر روی يک سيستم آسيب پذير ، خواهد بود. در چنين حالتی مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم خواهد بود . نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account های جديد بهمراه تمامی مجوزهای مربوطه ، نمونه هائی در اين رابطه می باشد .بمنظور استفاده از ضعف موجود، يک مهاجم درخواستی خاص بر روی کامپيوتر از راه دور و از طريق پورت های مشخص شده RPC را ارسال می نمايد .
عملکرد ويروس :کرم بلستر ، بصورت تصادفی يک دامنه از آدرس های IP را پويش ( بررسی ) تا سيستم مورد نظر خود را برای آسيب رسانی از طريق پورت 135 ، انتخاب نمايد . کرم فوق ، از ضعف موجود در رابطه با DCOM RPC استفاده می نمايد . ( اشاره شده در patch شماره MS03-026 ) . زمانيکه کد مربوطه برای سيستمی ارسال گرديد در ادامه اقدام به download و اجرای فايل MSBLATE.EXE از يک سيستم راه دور و از طريق HTTP می نمايد . پس از اجراء ، کليد ريجستری زير ايجاد خواهد شد :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill​

علائم آلودگی سيستم : برخی از کاربران ممکن است هيچگونه علائمی مبنی بر آلودگی سيستم خود را مشاهده ننمايند . در رابطه با کاربرانی که از سيستم ويندوز XP و يا Server 2003 استفاده می نمايند ، سيستم پس از لحظاتی و بدون اينکه کاربر عمليات خاصی را انجام دهد، راه اندازی مجدد می گردد . در رابطه با کاربرانی که از ويندوز NT 4.0 و يا ويندوز 2000 ، استفاده می نمايند ، سيستم رفتاری غيرپاسخگو را خواهد داشت ( عدم واکنش صحيح در رابطه با برخی از رويداد ها و ارائه خدمات طبيعی ) . کاربران در اين رابطه ممکن است موارد زير را نيز مشاهده نمايند :

  • وجود فايل های غيرمتعارف TFTP
  • وجود فايل msblast.exe در دايرکتوری Windows System32
سيستم های آسيب پذير : کاربرانی که دارای يکی از سيستم های زير می باشند ، در معرض آلودگی خواهند بود :

  • ويندوز NT 4.0
  • ويندوز 2000
  • ويندوز XP
  • ويندوز 2003
سيستم های مصون : در صورتيکه وجود شرايط زير ، کامپيوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود :

  • در صورتيکه از ويندوز 95 ، 98 ، SE و يا ME استفاده می گردد .
  • در صورتيکه patch امنيتی اشاره شده در MS03-026 بر روی سيستم نصب شده باشد .
Patch های موجود : برای دريافت patch مربوطه می توان از آدرس های زير استفاده کرد :

Windows NT 4.0

Windows NT 4.0 Terminal Server Edition

Windows 2000

Windows XP 32 bit Edition

Windows XP 64 bit Edition

Windows Server 2003 32 bit Edition

Windows Server 2003 64 bit Edition

سوالات متداول در رابطه با کرم بلستر :

علت وجود ضعف موجود چيست ؟ اشکال فوق، مربوط به يک Buffer overrun است ( بافری که بررسی های لازم در ارتباط با آن انجام نشده است ) . مهاجمی که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، می تواند کنترل کامل سيستم را از طريق يک کامپيوتر از راه دور در اختيار و عمليات دلخواه خود را بدون هيچگونه محدوديتی انجام دهد.علت بروز چنين مسئله ای به سرويس RPC ويندوز برمی گردد که بصورت مناسب وضعيت پيام های ورودی را تحت شرايط خاص ، بررسی نمی نمايد .

DCOM چيست ؟ پروتکلی است که امکا ن ارتباط مستقيم بين عناصر نرم افزاری موجود در يک شبکه با يکديگر را فراهم می نمايد.پروتکل فوق، قبلا" OLE Network ناميده می شد.

RPC چيست ؟ پروتکلی است که يک برنامه می تواند با استفاده از آن درخواست سرويسی را از برنامه موجود بر روی کامپيوتر ديگر در شبکه داشته باشد . RPC ، تسهيلات و امکانات لازم در خصوص ارتباط بين برنامه ها را فراهم می نمايد . برنامه هائی که از RPC استفاده می نمايند ضرورتی به آگاهی از پروتکل های شبکه که ارتباطات را حمايت می نمايند ، نخواهند داشت . در RPC ، برنامه درخواست کننده سرويس گيرنده بوده و برنامه ارائه دهنده سرويس ، سرويس دهنده می باشد .

سرويس های اينترنت COM و RPC بر روی HTTP چه چيزی می باشند ؟ سرويس های اينترنت COM معرفی شده، پروتکل حمل DCOM را در ارتباط با TCP ارائه و اين امکان را فراهم می نمايد که DCOM ، عمليات خود را از طريق پورت 80 پروتکل TCP انجام دهد . سرويس های اينترنت COM و RPC بر روی HTTP ، اين امکان را برای يک سرويس گيرنده و سرويس دهنده فراهم می نمايند که قادر به برقراری ارتباط با يکديگر در صورت حضور و يا فعال بودن اکثر سرويس دهندگان پروکسی و يا فايروال باشند .

با استفاده از چه روشی می توان از نصب سرويس های اينترنت COM بر روی سيستم ، اطمينان حاصل کرد؟ بهترين روش در اين رابطه جستجو برای يافتن فايل rpcproxy.dll است . در صورتيکه فايل فوق پيدا گردد ، نشاندهنده نصب سرويس های اينترنت COM بر روی ماشين است .

اشتباه مايکروسافت در رابطه با پياده سازی RPC چيست ؟ در بخشی از RPC شکافی وجود داشته که در ارتباط با پيام های مبادله شده از طريق TCP/IP است . علت بروز مشکل ،عدم برخورد مناسب با پيام های ناقص است . مشکل فوق، باعث تاثيرات خاصی در ارتباط با اينترفيس DCOM شده و زمينه گوش دادن به پورت 135 مربوط به TCP/IP ، فراهم می گردد . امکان دستيابی از طريق پورت های 139 ، 445 و 593 نيز وجود خواهد داشت . با ارسال يک پيام ناقص RPC ، يک مهاجم می تواند باعث بروز اشکال در سرويس دهی توسط سرويس RPC بر روی يک ماشين گردد .

يک مهاجم با استفاده از ضعف موجود قادر به انجام چه عملياتی خواهد بود ؟
مهاجمی که قادر به استفاده موفقيت آميز از ضعف موجود باشد ، می تواند کدهائی را با مجوزهای سيستم محلی بر روی يک سيستم اجراء نمايد . مهاجم ، قادر به انجام هر نوع عملياتی بر روی سيستم نظير : نصب برنامه ها ، مشاهده تغييرات ، حذف فايل ها و ايجاد account های جديد با مجوزها و اختيارات کامل، خواهد بود.

يک مهاجم به چه صورت از ضعف فوق ، استفاده می نمايد ؟ يک مهاجم ، بمنظور جستجو و استفاده از اين نقص امنيتی می تواند با برنامه ريزی يک ماشين که قادر به ارتباط با يک سرويس دهنده آسيب پذير از طريق RPC باشد ، ارتباطی را برقرار و در ادامه يک نوع پيام خاص RPC ناقص را ارسال نمايد . دريافت چنين پيامی باعث بروز اشکال در ماشين آسيب پذير شده و بدين ترتيب ماشين فوق ، قادر به اجراء کد دلخواه و مورد نظر مهاجم خواهد بود .

چه کسانی در معرض اين آسيب هستند ؟ هر کاربری که قادر به عرضه يک درخواست TCP بر روی يک اينترفيس RPC بر روی يک کامپيوترآسيب پذير باشد ، می تواند در معرض آسيب فوق باشد . با توجه به اينکه درخواست های RPC بصورت پيش فرض بر روی تمامی نسخه های ويندوز فعال ( on) می باشند ، هر کاربری که قادر به برقراری ارتباط با يک کامپيوترآسيب پذير باشد ، می تواند در معرض اين آسيب قرار گيرد .

منبع : www.220volt.ir