Code Red 蠕蟲攻擊方式分析

2019-11-17 05:43:35

字體：大中小

來源：轉載

供稿：網友

　　具體：CODE RED 利用 IIS WEB 服務器 .IDA 緩沖區溢出漏洞傳播。假如它感染了一個主機，將會在受影響機器上作如下活動：
1、建立起初始蠕蟲環境
2、建立起100個蠕蟲線程
3、前99個線程會傳播感染其它主機
4、第100個線程會檢查自身是否運行于一個英文版本的 Windows NT/2000
假如是，它將會替換該主機頁面
Welcome tohttp://www.worm.com/ !, Hacked By Chinese!
該信息會在10小時后自動消失,除非再次受到感染。
假如不是英文版本，它也會被用作感染其它主機。
5、每個線程會檢查當地時間
假如時間位于 20:00 UTC 和 23:59 UTC 間，該線程會往
www.whitehouse.gov 發送 100K 字節數據。
假如小于 20:00 UTC，它會繼續傳播感染其它主機
在下面的具體分析中，將要用到
IDA(Interactive Disassembler) ，它來自www.datarescue.com。
MS VC++ 調試環境
我將該蠕蟲分為三個部分以便研究：核心功能模塊，hack web 頁面模塊，攻擊
www.whitehouse.gov 模塊。
一、核心功能模塊
1、起始感染容器（已被感染并將傳播蠕蟲的主機）
當被感染時，系統內存將會呈現如下信息：
<MORE 4E 00>
4E 00 4E 00 4E 00 4E 00
4E 00 4E 00 4E 00 4E 00
4E 00 4E 00 4E 00 4E 00
92 90 58 68 4E 00 4E 00
4E 00 4E 00 4E 00 4E 00
FA 00 00 00 90 90 58 68
D3 CB 01 78 90 90 58 68
D3 CB 01 78 90 90 58 68
D3 CB 01 78 90 90 90 90
90 81 C3 00 03 00 00 8B
1B 53 FF 53 78
Eip 會被 0x7801CBD3 重寫。在 0x7801CBD3 處的代碼將會被分解成 call ebx ，當 EIP 被 call ebx 重寫時，它會導致程序流重定向回堆棧。堆
棧上的代碼將會跳到蠕蟲代碼，該蠕蟲代碼在起始 HTTP 請求體中。
2、建立起始堆棧變量
CODEREF: seg000:000001D6 WORM
首先，蠕蟲建立一個布滿 CCh 的 218h 字節堆棧，然后它將轉而激活跳轉函數。
所有的變量會被引用為 EBP-X 值。
3、裝載函數（建立跳轉表"jump table")
CODEREF: seg000:00000203 DataSetup
首先，蠕蟲會引用 eXPloit 代碼在 EBP-198h 中的數據部分。然后，它需要創建自己內部函數跳轉表。
該蠕蟲用到了一項 RVA (Relative Virtual Addresses) 查詢技術，在一個 nutshell 中，RAV 被用來得到 GetPRocAddress 的地址。
GetProcAddress 然后被用來得到 LoadLibraryA 地址。它會用到這兩個函數裝載下面的函數：
>From kernel32.dll:
GetSystemTime
CreateThread
CreateFileA
Sleep
GetSystemDefaultLangID
VirtualProtect
>From infocomm.dll:
TcpSockSend>From WS2_32.dll:
socket
connect
send
recv
closesocket
最后，蠕蟲會存儲 w3svc.dll 的基地址，該地址將被用來更改頁面。
4、檢查已經創建的線程：
CODEREF: seg000:00000512 FUNC_LOAD_DONE
它會運行 WriteClient (ISAPI Extension API 的一部分)，發送"GET" 回進攻機。這應該是告訴告訴攻擊機它已成功感染該機。
然后，它會計算活動的蠕蟲線程
假如線程等于100，控制會轉向 hack web 頁面功能項。
假如線程小于100，它會創建新的線程。每一個新線程都是蠕蟲的簡單復制。
5、檢查已存在的 c:/notworm
它有一個"lysine deficiency" 功能，用來保持惡意代碼進一步傳播。
假如該文件存在，它不會作其它動作;假如不存在，它會進行下一步。

6、檢查受影響系統時間：
CODEREF: seg000:00000803 NOTWORM_NO
CODEREF: seg000:0000079D DO_THE_WORK
假如時間位于 20:00 UTC 和 23:59 UTC 間，該線程會往
www.whitehouse.gov 發送 100K 字節數據。
假如小于 20:00 UTC，它會繼續傳播感染其它主機
7、感染一個新的主機
假如能建立一個80端口連接，它將會發送自己的一個復制到那個 IP，假如發送成功，它會關閉 socket 并轉到第5步，從而開始一個新的循環。
二、hack webpage 模塊
假如100個線程產生，該模塊會被調用
1、檢查系統語言是否為英文，然后轉到核心模塊第5步
CODEREF: seg000:000005FE TOO_MANY_THREADS
2、休眠2小時
CODEREF: seg000:00000636 IS_AMERICAN
這應該是在更改頁面之前作盡可能的傳播。
3、試圖改變受影響系統的 WEB 頁面
CODEREF: seg000:0000064F HACK_PAGE
三、攻擊www.whitehouse.gov 模塊
創建 socket 連接到
www.whitehouse.gov 80 端口發送 100K 字節數據：
CODEREF: seg000:000008AD WH99vEHOUSE_SOCKET_SETUP
首先，它會創建一個 socket 并連接到 198.137.240.91 (www.whitehouse.gov/www1.whitehouse.gov) 80 端口，
CODEREF: seg000:0000092F WH99vEHOUSE_SOCKET_SEND
假如連接成功，它會創建一個循環：發送18000h 單字節send()'s 到該站點
CODEREF: seg000:00000972 WH99vEHOUSE_SLEEP_LOOP
在 18000h send()'s 后，它會休眠4個半小時，然后重復此攻擊。

上一篇：CIH v1.4源程序

下一篇：Code Style(代碼的風格)