惡意程式簡易分析

2,173 views

Published on

弈瑞科技

Published in: Art & Photos
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,173
On SlideShare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
35
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

惡意程式簡易分析

  1. 1. 惡意程式分析 Net-Worm.Win32.Kido     奕瑞科技有限公司 企業支援工程師 陳均銘 [email_address]
  2. 2. <ul><li>惡意程式 Kido 概述 </li></ul><ul><li>攻擊與入侵手法介紹 </li></ul><ul><li>完整清除 Kido 蠕蟲 </li></ul>Agenda
  3. 3. 惡意程式 Kido 概述
  4. 4. <ul><li>2008.10.23 微軟發佈了重大安全更新 MS08-067 </li></ul><ul><li>MS08-067 弱點會造成 Server Service 被遠端執行程式碼的可能性 </li></ul><ul><li>2009.1.6 卡巴斯基原廠發佈了 Net-Worm.Win32.Kido ( 又名 Conficker/Downadup) 相關資訊該蠕蟲會透過 MS08-067 弱點對系統做入侵與攻擊行為 </li></ul><ul><li>2009.1.6 當日 22:05 GMT 病毒特徵碼入庫 </li></ul><ul><li>2008.10~2009.5 為期半年內 Kido 估計已感染了上百萬台電腦並持續在進行變種 </li></ul><ul><li>Kido 蠕蟲的產生 </li></ul>惡意程式 Kido 介紹
  5. 5. <ul><li>依據微軟 MS08-067 弱點公告受影響的系統如下 </li></ul><ul><li>Windows Server/Pro 2000 </li></ul><ul><li>Windows XP x86/x64 </li></ul><ul><li>Windows Vista x86/x64 </li></ul><ul><li>Windows Server 2003 x86/x64 </li></ul><ul><li>Windows Server 2008 x86/x64 </li></ul><ul><li>Kido 蠕蟲感染範圍 </li></ul>惡意程式 Kido 介紹
  6. 6. <ul><li>蠕蟲攻擊的特性 </li></ul><ul><li>蠕蟲通常透過網際網路或區域網路進行大量散播 </li></ul><ul><li>感染的特性如下 </li></ul><ul><li>自我複製惡意檔案到受感染的電腦 </li></ul><ul><li>利用漏洞或是弱點遠端執行惡意程式 </li></ul><ul><li>利用網路或社交程式進行散播 </li></ul><ul><li>取得電腦控制權 </li></ul><ul><li>持續透過 Downloader 下載全新惡意程式 </li></ul><ul><li>成為傀儡電腦 (BotNet) 一員 </li></ul>惡意程式 Kido 介紹
  7. 7. 攻擊與入侵手法介紹
  8. 8. <ul><li>攻擊的特性 </li></ul><ul><li>透過微軟弱點 MS08-067 MS08-068 MS09-001 攻擊 Server service 與 SMB </li></ul><ul><li>發送特別的 RPC request 封包到遠端機器,造成 Buffer Overrun </li></ul><ul><li>攻擊 139 (NetBios) 與 445(SMB) </li></ul><ul><li>搜尋網路並列出 administrator 帳號,透過字典檔攻擊取得遠端電腦完整控制權 </li></ul><ul><li>使用 API Hook 技術防止 Buffer Overrun 被偵測 </li></ul><ul><li>利用 Downloader 持續更新惡意程式 </li></ul><ul><li>利用外接式儲存媒體結合 Auotorun 與 Autoplay 功能進行感染 </li></ul>Kido 攻擊手法
  9. 9. Kido 感染途徑
  10. 10. <ul><li>攻擊示意圖 </li></ul>Kido 攻擊手法 Portable media RPC request Vulnerability Vulnerability Vulnerability Brute Force Password Attack Gateway Internet Net-Worm Kido Net-Worm Kido Net-Worm Kido Network servers Workstation Workstation
  11. 11. <ul><li>攻擊分析 </li></ul><ul><li>惡意程式針對 MS08-067 弱點以網路或是外接式儲存媒體進行感染 </li></ul><ul><li>蠕蟲為 Windows PE DLL file 大小約 158110 bytes 使用 UPX 加殼 </li></ul><ul><li>蠕蟲安裝 </li></ul><ul><li>蠕蟲會複製自身的可執行檔並以亂數的名稱複製到不同的路徑 </li></ul><ul><li>%Windir%<rnd>dir.dll </li></ul><ul><li>%Program Files%Internet Explorer<rnd>.dll </li></ul><ul><li>%Program Files%Movie Maker<rnd>.dll </li></ul>Kido 攻擊手法
  12. 12. <ul><li>%All users Application Data%<rnd>.dll </li></ul><ul><li>%Temp%<rnd>.dll </li></ul><ul><li>%Windir%<rnd>.dll </li></ul><ul><li>%Temp%<rnd>.tmp </li></ul><ul><li><rnd> 代表所顯示的字串是變數 </li></ul>Kido 攻擊手法
  13. 13. <ul><li>為確保蠕蟲會在系統下一次啟動時自動執行,惡意程式 </li></ul><ul><li>會 建立一個服務並設定為開機自動啟動 </li></ul><ul><li>[HKLMSYSTEMCurrentControlSetServices etsvcs] </li></ul><ul><li>建立服務名稱可能如下 </li></ul><ul><li>Boot Image Windows Support Update </li></ul><ul><li>Center Manager Network System Windows </li></ul><ul><li>Config Installer Security Task </li></ul><ul><li>Driver Microsoft Server Time </li></ul><ul><li>Helper Moniter Shell Universal </li></ul>Kido 攻擊手法
  14. 14. <ul><li>惡意程式同時也會修改系統登錄檔 </li></ul><ul><li>[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] </li></ul><ul><li>“ netsvcs” = <original value> %windir% <rdn.dll> </li></ul><ul><li>修改系統登錄檔隱藏惡意程式 </li></ul><ul><li>[HKCR SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced] </li></ul><ul><li>&quot;Hidden&quot; = &quot;dword: 0x00000002“ </li></ul><ul><li>&quot;SuperHidden&quot; = &quot;dword: 0x00000000“ </li></ul><ul><li>[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] </li></ul><ul><li>&quot;CheckedValue&quot; = &quot;dword: 0x00000000&quot; </li></ul>Kido 攻擊手法
  15. 15. <ul><li>傳播方式 </li></ul><ul><li>http://www.getmyip.org </li></ul><ul><li>http://www.whatsmyipaddress.com </li></ul><ul><li>http://www.whatismyip.org </li></ul><ul><li>http://checkip.dyndns.org </li></ul><ul><li>蠕蟲會在受感染主機 上建立 Http Server 並使用亂數的連結 Port ,主要目的是將 </li></ul><ul><li>蠕蟲執行檔下載到其他電腦 </li></ul>Kido 攻擊手法 <ul><li>為加速散播速度,蠕蟲會利用 tcpip.sys 功能來增加網路連線數 </li></ul><ul><li>蠕蟲會連線到下列網站,嘗試解析出用戶端電腦的 Public IP </li></ul>
  16. 16. Kido 攻擊手法 <ul><li>蠕蟲發出特別的 RPC request 到遠端機器 TCP139(Netbios) 與 445(SMB) Port </li></ul><ul><li>特殊的 RPC request 會造成 Buffer overrun </li></ul><ul><li>利用 wcscpy_s 函式功能呼叫 netapi32.dll 時,會將蠕蟲執行檔下載到 </li></ul><ul><li>受感染的電腦並且執行 </li></ul><ul><li>API Hooking 「 NetpwPathCanonicalize 」當呼叫 netapi32.dll 可以防止緩 </li></ul><ul><li>衝區溢位偵測 </li></ul><ul><li>蠕蟲修改系統登錄檔增加傳播速度 </li></ul>[HKLM SYSTEMCurrentControlSetServicesTcpipParameters] &quot;TcpNumConnections&quot; = &quot;dword:0x00FFFFFE&quot;
  17. 17. <ul><li>透過字典檔攻擊試圖取得遠端電腦 Administrator 權限 </li></ul>Kido 攻擊手法
  18. 18. <ul><li>取得 Administrator 權限後,蠕蟲會複製本體到下列共享資料夾 </li></ul>Kido 攻擊手法 <name of host>ADMIN$System32<rnd>.<rnd> lt;name of host>IPC$<rnd>.<rnd> <ul><li>蠕蟲會透過下列指令進行遠端或是排程執行 </li></ul>rundll32.exe <path to worm file>, <rnd> <ul><li>受感染電腦成為魁儡電腦等接受攻擊者的控管與命令 </li></ul>
  19. 19. <ul><li>利用可卸除式儲存傳播 </li></ul>Kido 攻擊手法 <ul><li>蠕蟲會複製自身執行檔到所有的可卸除式儲存媒體 </li></ul><X>:RECYCLERS-<%d%>-<%d%>-%d%>-%d%>-%d%>- %d%>-%d%><rnd>.vmx rnd : 亂數的小寫字母 d : 亂數數字 X : 磁碟代號 <ul><li>蠕蟲會複製自身執行檔到本機所有磁碟根目錄下 </li></ul><X>:autorun.inf <ul><li>假造 Autoplay 安裝選單誘惑使用者開啟 </li></ul>
  20. 20. <ul><li>Kido 蠕蟲執行後所帶來的影響 </li></ul>Kido 帶來的影響 <ul><li>當蠕蟲執行後,會注入自己的程式碼到 Svchost.exe ( 系統程序 ) 的名稱空間內 </li></ul><ul><li>蠕蟲同時也會將自身程式碼寫入到 explorer.exe 與 services.exe 程序 </li></ul><ul><li>關閉下列服務 </li></ul><ul><li>Windows Automatic Update Service (wuauserv) </li></ul><ul><li>Background Intelligent Transfer Service (BITS) </li></ul><ul><li>Windows Security Center Service (wscsvc) </li></ul><ul><li>Windows Defender Service (WinDefend, WinDefender) </li></ul><ul><li>Windows Error Reporting Service (ERSvc) </li></ul><ul><li>Windows Error Reporting Service (WerSvc) </li></ul>
  21. 21. <ul><li>禁止存取含有以下字串的網址 </li></ul><ul><li>nai ca avp avg vet bit9 sans cert </li></ul><ul><li>windowsupdate wilderssecurity threatexpert castlecops </li></ul><ul><li>cpsecure arcabit emsisoft sunbelt securecomputing </li></ul><ul><li>rising norman ikarust gdata fortinet clamav </li></ul><ul><li>comodo avira avast jotti esafe drweb nod32 </li></ul><ul><li>f-prot kaspersky f-secure sophos trendmicro drweb </li></ul><ul><li>mcafee symantec microsoft defenders norton panda </li></ul>Kido 帶來的影響
  22. 22. Kido 帶來的影響 <ul><li>蠕蟲 Hook 下列 API ,當調用 dnsrslvr.dll 封鎖使用者列出的網域名稱 </li></ul><ul><li>DNS_Query_A </li></ul><ul><li>DNS_Query_UTF8 </li></ul><ul><li>DNS_Query_W </li></ul><ul><li>Query_Main </li></ul><ul><li>Query_Main </li></ul><ul><li>蠕蟲 會透過 internet 下載檔案, URL 格式如下 </li></ul>http://<URL>/search?q=<%rnd2%> rnd2 : 亂數 數字
  23. 23. Kido 帶來的影響 <ul><li>URL 透過特定的演算法配合現在日期產生亂數的數字 </li></ul><ul><li>蠕蟲参考下列網站來抓取現在日期 </li></ul>http://www.w3.org http:// www.ask.com http:// www.msn.com http:// www.yahoo.com http:// www.google.com http:// www.baidu.com http:// www.myspace.com http:// www.msn.com http://www.w3.org http:// www.ask.com http:// www.cnn.com
  24. 24. 完整清除 Kido 蠕蟲
  25. 25. <ul><li>如何清除 Kido 蠕蟲 </li></ul><ul><li>更新病毒特徵碼資料庫到最新 </li></ul><ul><li>使用 Kido 移除工具 </li></ul><ul><li>手動移除 Kido </li></ul>清除 Kido 蠕蟲
  26. 26. <ul><li>使用 Kido 移除工具 </li></ul><ul><li>於原廠下載 Kidokiller 移除工具 </li></ul><ul><li>本機執行 KK.exe </li></ul>清除 Kido 蠕蟲 http://support.kaspersky.com/faq/?qid=208279973 輸入指令 KK.exe -y –s -y :不需按認任意鍵關閉視窗 -S : 安靜模式 ( 背景執行 )
  27. 27. <ul><li>利用 Administration KIT 派送 Kido 移除工具 </li></ul>清除 Kido 蠕蟲 -y :不需按認任意鍵關閉視窗 -S : 安靜模式 ( 背景執行 )
  28. 28. <ul><li>手動移除 Kido 蠕蟲 </li></ul><ul><li>請参考下列移除步驟 ( 手動解毒建議先進入 不含網路功能 安全模式 ) </li></ul>清除 Kido 蠕蟲 <ul><li>刪除下列系統登錄檔 </li></ul>[HKLMSYSTEMCurrentControlSetServices etsvcs] <ul><li>刪除 %Windir%<rdn>.dll 所對應到的系統登錄值 </li></ul>[[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] &quot;netsvcs&quot; <ul><li>還原下列系統登錄檔為預設值 </li></ul>[HKCR SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced] &quot;Hidden&quot; = &quot;dword: 0x00000001&quot; &quot;SuperHidden&quot; = &quot;dword: 0x00000001&quot;
  29. 29. 清除 Kido 蠕蟲 <ul><li>重新啟動電腦 </li></ul>[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] &quot;&quot;CheckedValue&quot; = &quot;dword: 0x00000000&quot; <ul><li>刪除以下檔案 </li></ul>%System%<rnd>dir.dll %Program Files%Internet Explorer<rnd>.dll %Program Files%Movie Maker<rnd>.dll %All Users Application Data%<rnd>.dll %Temp%<rnd>.dll %System%<rnd>tmp %Temp%<rnd>.tmp
  30. 30. <ul><li>從所有可卸除式儲存媒體刪除下列檔案 </li></ul>清除 Kido 蠕蟲 <X>:autorun.inf <X>:RECYCLERS-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%><rnd>.vmx <ul><li>下載微軟更新修補檔 </li></ul>http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx <ul><li>更新防毒軟體病毒資料庫 </li></ul>
  31. 31. 預防 Kido 蠕蟲 <ul><li>如何預防 Kido 蠕蟲 </li></ul><ul><li>安裝微軟修補程式 MS08-067 MS08-068 MS09-001 </li></ul><ul><li>安裝防毒軟體並更新病毒特徵碼到最新 </li></ul><ul><li>安裝並啟用 防火牆 或 入侵偵測 / 防禦 功能 </li></ul><ul><li>為使用者帳戶和共用資料夾設置較強的密碼 </li></ul><ul><li>建議停用自動執行與播放功能 </li></ul><ul><li>定期排定完整的掃描工作 </li></ul>
  32. 32. Thank you ! eRaySecure

×