Your SlideShare is downloading. ×
0
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
惡意程式簡易分析
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

惡意程式簡易分析

1,647

Published on

弈瑞科技

弈瑞科技

Published in: Art & Photos
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,647
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
22
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  1. 惡意程式分析 Net-Worm.Win32.Kido     奕瑞科技有限公司 企業支援工程師 陳均銘 [email_address]
  2. <ul><li>惡意程式 Kido 概述 </li></ul><ul><li>攻擊與入侵手法介紹 </li></ul><ul><li>完整清除 Kido 蠕蟲 </li></ul>Agenda
  3. 惡意程式 Kido 概述
  4. <ul><li>2008.10.23 微軟發佈了重大安全更新 MS08-067 </li></ul><ul><li>MS08-067 弱點會造成 Server Service 被遠端執行程式碼的可能性 </li></ul><ul><li>2009.1.6 卡巴斯基原廠發佈了 Net-Worm.Win32.Kido ( 又名 Conficker/Downadup) 相關資訊該蠕蟲會透過 MS08-067 弱點對系統做入侵與攻擊行為 </li></ul><ul><li>2009.1.6 當日 22:05 GMT 病毒特徵碼入庫 </li></ul><ul><li>2008.10~2009.5 為期半年內 Kido 估計已感染了上百萬台電腦並持續在進行變種 </li></ul><ul><li>Kido 蠕蟲的產生 </li></ul>惡意程式 Kido 介紹
  5. <ul><li>依據微軟 MS08-067 弱點公告受影響的系統如下 </li></ul><ul><li>Windows Server/Pro 2000 </li></ul><ul><li>Windows XP x86/x64 </li></ul><ul><li>Windows Vista x86/x64 </li></ul><ul><li>Windows Server 2003 x86/x64 </li></ul><ul><li>Windows Server 2008 x86/x64 </li></ul><ul><li>Kido 蠕蟲感染範圍 </li></ul>惡意程式 Kido 介紹
  6. <ul><li>蠕蟲攻擊的特性 </li></ul><ul><li>蠕蟲通常透過網際網路或區域網路進行大量散播 </li></ul><ul><li>感染的特性如下 </li></ul><ul><li>自我複製惡意檔案到受感染的電腦 </li></ul><ul><li>利用漏洞或是弱點遠端執行惡意程式 </li></ul><ul><li>利用網路或社交程式進行散播 </li></ul><ul><li>取得電腦控制權 </li></ul><ul><li>持續透過 Downloader 下載全新惡意程式 </li></ul><ul><li>成為傀儡電腦 (BotNet) 一員 </li></ul>惡意程式 Kido 介紹
  7. 攻擊與入侵手法介紹
  8. <ul><li>攻擊的特性 </li></ul><ul><li>透過微軟弱點 MS08-067 MS08-068 MS09-001 攻擊 Server service 與 SMB </li></ul><ul><li>發送特別的 RPC request 封包到遠端機器,造成 Buffer Overrun </li></ul><ul><li>攻擊 139 (NetBios) 與 445(SMB) </li></ul><ul><li>搜尋網路並列出 administrator 帳號,透過字典檔攻擊取得遠端電腦完整控制權 </li></ul><ul><li>使用 API Hook 技術防止 Buffer Overrun 被偵測 </li></ul><ul><li>利用 Downloader 持續更新惡意程式 </li></ul><ul><li>利用外接式儲存媒體結合 Auotorun 與 Autoplay 功能進行感染 </li></ul>Kido 攻擊手法
  9. Kido 感染途徑
  10. <ul><li>攻擊示意圖 </li></ul>Kido 攻擊手法 Portable media RPC request Vulnerability Vulnerability Vulnerability Brute Force Password Attack Gateway Internet Net-Worm Kido Net-Worm Kido Net-Worm Kido Network servers Workstation Workstation
  11. <ul><li>攻擊分析 </li></ul><ul><li>惡意程式針對 MS08-067 弱點以網路或是外接式儲存媒體進行感染 </li></ul><ul><li>蠕蟲為 Windows PE DLL file 大小約 158110 bytes 使用 UPX 加殼 </li></ul><ul><li>蠕蟲安裝 </li></ul><ul><li>蠕蟲會複製自身的可執行檔並以亂數的名稱複製到不同的路徑 </li></ul><ul><li>%Windir%<rnd>dir.dll </li></ul><ul><li>%Program Files%Internet Explorer<rnd>.dll </li></ul><ul><li>%Program Files%Movie Maker<rnd>.dll </li></ul>Kido 攻擊手法
  12. <ul><li>%All users Application Data%<rnd>.dll </li></ul><ul><li>%Temp%<rnd>.dll </li></ul><ul><li>%Windir%<rnd>.dll </li></ul><ul><li>%Temp%<rnd>.tmp </li></ul><ul><li><rnd> 代表所顯示的字串是變數 </li></ul>Kido 攻擊手法
  13. <ul><li>為確保蠕蟲會在系統下一次啟動時自動執行,惡意程式 </li></ul><ul><li>會 建立一個服務並設定為開機自動啟動 </li></ul><ul><li>[HKLMSYSTEMCurrentControlSetServices etsvcs] </li></ul><ul><li>建立服務名稱可能如下 </li></ul><ul><li>Boot Image Windows Support Update </li></ul><ul><li>Center Manager Network System Windows </li></ul><ul><li>Config Installer Security Task </li></ul><ul><li>Driver Microsoft Server Time </li></ul><ul><li>Helper Moniter Shell Universal </li></ul>Kido 攻擊手法
  14. <ul><li>惡意程式同時也會修改系統登錄檔 </li></ul><ul><li>[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] </li></ul><ul><li>“ netsvcs” = <original value> %windir% <rdn.dll> </li></ul><ul><li>修改系統登錄檔隱藏惡意程式 </li></ul><ul><li>[HKCR SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced] </li></ul><ul><li>&quot;Hidden&quot; = &quot;dword: 0x00000002“ </li></ul><ul><li>&quot;SuperHidden&quot; = &quot;dword: 0x00000000“ </li></ul><ul><li>[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] </li></ul><ul><li>&quot;CheckedValue&quot; = &quot;dword: 0x00000000&quot; </li></ul>Kido 攻擊手法
  15. <ul><li>傳播方式 </li></ul><ul><li>http://www.getmyip.org </li></ul><ul><li>http://www.whatsmyipaddress.com </li></ul><ul><li>http://www.whatismyip.org </li></ul><ul><li>http://checkip.dyndns.org </li></ul><ul><li>蠕蟲會在受感染主機 上建立 Http Server 並使用亂數的連結 Port ,主要目的是將 </li></ul><ul><li>蠕蟲執行檔下載到其他電腦 </li></ul>Kido 攻擊手法 <ul><li>為加速散播速度,蠕蟲會利用 tcpip.sys 功能來增加網路連線數 </li></ul><ul><li>蠕蟲會連線到下列網站,嘗試解析出用戶端電腦的 Public IP </li></ul>
  16. Kido 攻擊手法 <ul><li>蠕蟲發出特別的 RPC request 到遠端機器 TCP139(Netbios) 與 445(SMB) Port </li></ul><ul><li>特殊的 RPC request 會造成 Buffer overrun </li></ul><ul><li>利用 wcscpy_s 函式功能呼叫 netapi32.dll 時,會將蠕蟲執行檔下載到 </li></ul><ul><li>受感染的電腦並且執行 </li></ul><ul><li>API Hooking 「 NetpwPathCanonicalize 」當呼叫 netapi32.dll 可以防止緩 </li></ul><ul><li>衝區溢位偵測 </li></ul><ul><li>蠕蟲修改系統登錄檔增加傳播速度 </li></ul>[HKLM SYSTEMCurrentControlSetServicesTcpipParameters] &quot;TcpNumConnections&quot; = &quot;dword:0x00FFFFFE&quot;
  17. <ul><li>透過字典檔攻擊試圖取得遠端電腦 Administrator 權限 </li></ul>Kido 攻擊手法
  18. <ul><li>取得 Administrator 權限後,蠕蟲會複製本體到下列共享資料夾 </li></ul>Kido 攻擊手法 <name of host>ADMIN$System32<rnd>.<rnd> lt;name of host>IPC$<rnd>.<rnd> <ul><li>蠕蟲會透過下列指令進行遠端或是排程執行 </li></ul>rundll32.exe <path to worm file>, <rnd> <ul><li>受感染電腦成為魁儡電腦等接受攻擊者的控管與命令 </li></ul>
  19. <ul><li>利用可卸除式儲存傳播 </li></ul>Kido 攻擊手法 <ul><li>蠕蟲會複製自身執行檔到所有的可卸除式儲存媒體 </li></ul><X>:RECYCLERS-<%d%>-<%d%>-%d%>-%d%>-%d%>- %d%>-%d%><rnd>.vmx rnd : 亂數的小寫字母 d : 亂數數字 X : 磁碟代號 <ul><li>蠕蟲會複製自身執行檔到本機所有磁碟根目錄下 </li></ul><X>:autorun.inf <ul><li>假造 Autoplay 安裝選單誘惑使用者開啟 </li></ul>
  20. <ul><li>Kido 蠕蟲執行後所帶來的影響 </li></ul>Kido 帶來的影響 <ul><li>當蠕蟲執行後,會注入自己的程式碼到 Svchost.exe ( 系統程序 ) 的名稱空間內 </li></ul><ul><li>蠕蟲同時也會將自身程式碼寫入到 explorer.exe 與 services.exe 程序 </li></ul><ul><li>關閉下列服務 </li></ul><ul><li>Windows Automatic Update Service (wuauserv) </li></ul><ul><li>Background Intelligent Transfer Service (BITS) </li></ul><ul><li>Windows Security Center Service (wscsvc) </li></ul><ul><li>Windows Defender Service (WinDefend, WinDefender) </li></ul><ul><li>Windows Error Reporting Service (ERSvc) </li></ul><ul><li>Windows Error Reporting Service (WerSvc) </li></ul>
  21. <ul><li>禁止存取含有以下字串的網址 </li></ul><ul><li>nai ca avp avg vet bit9 sans cert </li></ul><ul><li>windowsupdate wilderssecurity threatexpert castlecops </li></ul><ul><li>cpsecure arcabit emsisoft sunbelt securecomputing </li></ul><ul><li>rising norman ikarust gdata fortinet clamav </li></ul><ul><li>comodo avira avast jotti esafe drweb nod32 </li></ul><ul><li>f-prot kaspersky f-secure sophos trendmicro drweb </li></ul><ul><li>mcafee symantec microsoft defenders norton panda </li></ul>Kido 帶來的影響
  22. Kido 帶來的影響 <ul><li>蠕蟲 Hook 下列 API ,當調用 dnsrslvr.dll 封鎖使用者列出的網域名稱 </li></ul><ul><li>DNS_Query_A </li></ul><ul><li>DNS_Query_UTF8 </li></ul><ul><li>DNS_Query_W </li></ul><ul><li>Query_Main </li></ul><ul><li>Query_Main </li></ul><ul><li>蠕蟲 會透過 internet 下載檔案, URL 格式如下 </li></ul>http://<URL>/search?q=<%rnd2%> rnd2 : 亂數 數字
  23. Kido 帶來的影響 <ul><li>URL 透過特定的演算法配合現在日期產生亂數的數字 </li></ul><ul><li>蠕蟲参考下列網站來抓取現在日期 </li></ul>http://www.w3.org http:// www.ask.com http:// www.msn.com http:// www.yahoo.com http:// www.google.com http:// www.baidu.com http:// www.myspace.com http:// www.msn.com http://www.w3.org http:// www.ask.com http:// www.cnn.com
  24. 完整清除 Kido 蠕蟲
  25. <ul><li>如何清除 Kido 蠕蟲 </li></ul><ul><li>更新病毒特徵碼資料庫到最新 </li></ul><ul><li>使用 Kido 移除工具 </li></ul><ul><li>手動移除 Kido </li></ul>清除 Kido 蠕蟲
  26. <ul><li>使用 Kido 移除工具 </li></ul><ul><li>於原廠下載 Kidokiller 移除工具 </li></ul><ul><li>本機執行 KK.exe </li></ul>清除 Kido 蠕蟲 http://support.kaspersky.com/faq/?qid=208279973 輸入指令 KK.exe -y –s -y :不需按認任意鍵關閉視窗 -S : 安靜模式 ( 背景執行 )
  27. <ul><li>利用 Administration KIT 派送 Kido 移除工具 </li></ul>清除 Kido 蠕蟲 -y :不需按認任意鍵關閉視窗 -S : 安靜模式 ( 背景執行 )
  28. <ul><li>手動移除 Kido 蠕蟲 </li></ul><ul><li>請参考下列移除步驟 ( 手動解毒建議先進入 不含網路功能 安全模式 ) </li></ul>清除 Kido 蠕蟲 <ul><li>刪除下列系統登錄檔 </li></ul>[HKLMSYSTEMCurrentControlSetServices etsvcs] <ul><li>刪除 %Windir%<rdn>.dll 所對應到的系統登錄值 </li></ul>[[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] &quot;netsvcs&quot; <ul><li>還原下列系統登錄檔為預設值 </li></ul>[HKCR SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced] &quot;Hidden&quot; = &quot;dword: 0x00000001&quot; &quot;SuperHidden&quot; = &quot;dword: 0x00000001&quot;
  29. 清除 Kido 蠕蟲 <ul><li>重新啟動電腦 </li></ul>[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] &quot;&quot;CheckedValue&quot; = &quot;dword: 0x00000000&quot; <ul><li>刪除以下檔案 </li></ul>%System%<rnd>dir.dll %Program Files%Internet Explorer<rnd>.dll %Program Files%Movie Maker<rnd>.dll %All Users Application Data%<rnd>.dll %Temp%<rnd>.dll %System%<rnd>tmp %Temp%<rnd>.tmp
  30. <ul><li>從所有可卸除式儲存媒體刪除下列檔案 </li></ul>清除 Kido 蠕蟲 <X>:autorun.inf <X>:RECYCLERS-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%><rnd>.vmx <ul><li>下載微軟更新修補檔 </li></ul>http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx <ul><li>更新防毒軟體病毒資料庫 </li></ul>
  31. 預防 Kido 蠕蟲 <ul><li>如何預防 Kido 蠕蟲 </li></ul><ul><li>安裝微軟修補程式 MS08-067 MS08-068 MS09-001 </li></ul><ul><li>安裝防毒軟體並更新病毒特徵碼到最新 </li></ul><ul><li>安裝並啟用 防火牆 或 入侵偵測 / 防禦 功能 </li></ul><ul><li>為使用者帳戶和共用資料夾設置較強的密碼 </li></ul><ul><li>建議停用自動執行與播放功能 </li></ul><ul><li>定期排定完整的掃描工作 </li></ul>
  32. Thank you ! eRaySecure

×