【正文】 入侵模式也就是現(xiàn)在蠕蟲常用的傳播模式。 1． 5 蠕蟲傳播的一般模式分析 ：掃描－攻擊－復制。實際上這不是蠕蟲程序的本意，造成網(wǎng)絡擁塞對蠕蟲程序的發(fā)布者沒有什么好處。但是，現(xiàn)有的蠕蟲采用的掃描方法不可避免的會引起大量的網(wǎng)絡擁塞，這是蠕蟲技術發(fā)展的一個瓶頸，如果能突破這個難關，蠕蟲技術的發(fā)展就會進入一個新的階段。笨點的掃描程序可能會不斷重復上面這一過程。于是蠕蟲傳播的越廣，網(wǎng)絡上的掃描包就越多。 聰明點的作者會對掃描策略進行一些改進，比如在 IP 地址段的選擇上，可以主要針對當前主機所在的網(wǎng)段掃描，對外網(wǎng)段則隨機選擇幾個小的 IP 地址段進行掃描。把掃描分散在不同的時間段進行。 （ 2）保證掃描覆蓋到盡量大的范圍。怎樣找到一個合適的策略需要在考慮以上原則的前提下進行分析，甚至需要試驗驗證。比如，針對遠程緩沖區(qū)溢出漏洞可以發(fā)送溢出代碼來探測，針對 web 的 cgi 漏洞就需要發(fā)送一個特殊的 請求來探測。一旦確認漏洞存在 后就可以進行相應的攻擊步驟，不同的漏洞有不同的攻擊手法，只要明白了漏洞的利用方法，在程序中實現(xiàn)這一過程就可以了。攻擊成功后，一般是獲得一個遠程主機的 shell，對 win2k 系統(tǒng)來說就是，得到這個 shell 后我們就擁有了對整個系統(tǒng)的控制權(quán)。復制過程實際上就是一個文件傳輸?shù)倪^程，實現(xiàn)網(wǎng)絡文件傳輸很簡單，這里不再討論。也就是 說，我們只要簡單地改變這個模式中各個具體環(huán)節(jié)的代碼，就可以實現(xiàn)一個自己的蠕蟲了。利用模式我們甚至可以編寫一個蠕蟲制造機。 除了上面介紹的傳播模式外，還可能會有別的模式出現(xiàn)。這種模式的描述為：由郵件地址薄獲得郵件地址 群發(fā)帶有蠕蟲程序的郵件 郵件被動打開，蠕蟲程序啟動。隨著蠕蟲技術的發(fā)展，今后還會有其他的傳播模式出現(xiàn)。 蠕蟲病毒入侵網(wǎng)絡的主要途徑是通過工作站傳播到服務器硬盤中，再由服務器的共享目錄傳播到其他的工作站。 。由于蠕蟲病毒在網(wǎng)絡中傳染速度非?？?，使其擴散范圍很大，不但能迅 速傳染局域網(wǎng)內(nèi)所有計算機，還能通過遠程工作站將蠕蟲病毒在一瞬間傳播到千里之外。 ，輕則降低速度，影響工作效率，重則造成網(wǎng)絡系統(tǒng)的癱瘓，破壞服務器系統(tǒng)資源，使多年的工 作毀于一旦。對蠕蟲傳播的一般模式來說，我們目前做的安全防護工作主要是針對其第二環(huán)即 攻擊 部分，為了防止攻擊，要采取的措施就是及早發(fā)現(xiàn)漏洞并打上補丁。使用防火墻的方法有河北理工大學畢業(yè)設計說明書 第 11 頁 共 51 頁 局限性，因為很多用戶并不知道如何使用防火墻，所以當蠕蟲仍然能傳播開來，有防火墻保護的主機只能保證自己的安全，但是網(wǎng)絡已經(jīng)被破壞了。 從網(wǎng)絡整體來防止蠕蟲傳播是一個安全專題，需要進一步研究。從一般模式的過程來看，大規(guī)模掃描是蠕蟲傳播的重要步驟，如果能防止或限制掃描的進行，那么就可以防止蠕蟲的傳播了。具體實現(xiàn)時可能要考慮到如何識別掃描包與正常包的問題，這有待進一步研究。蠕蟲的掃描會有一定的模式，掃描包有一定的特征串，這些都可以作為入侵檢測的入侵特征。 河北理工大學畢業(yè)設計說明書 第 12 頁 共 51 頁 2 沖擊波病毒的簡述 2． 1 沖擊波病毒的介紹 2021 年 7 月 16 日，微軟曾發(fā)布消息，表示其 Windows 操作系統(tǒng)中廣泛存在著一處漏洞， 即 RPCDCOM 漏洞， 并提醒用戶打補丁，然而并沒有受到重視。它是一種高危險的網(wǎng)絡蠕蟲病毒，利用 RPC 的 DCOM 接口的漏洞，向遠端系統(tǒng)上的 RPC 系統(tǒng)服務所監(jiān)聽的端口發(fā)送攻擊代碼，能夠使遭受攻擊的系統(tǒng)操作異常、不停重啟，甚至導致系統(tǒng)崩潰，并通過網(wǎng)絡向 仍有此漏洞的計算機傳播這種病毒。病毒別名 ： W32/ [McAfee/Kaspersky], [CA], Lovsan [FSecure], [Trend], W32/BlasterA [Sophos], W32/Blaster [Panda]。 RPC：遠程過程調(diào)用協(xié)議 （ RPC： Remote Procedure Call protocol）遠程過程調(diào)用（ RPC）是一種通過網(wǎng)絡從遠程計算機程序上請求服務，而不需要了解底層網(wǎng)絡技術的協(xié)議。在 OSI 網(wǎng)絡通信模型中， RPC 跨越了傳輸層和應用層。 RPC 采用客戶機 /服務器模式。首先，調(diào)用進程發(fā)送一個有進程參數(shù)的調(diào)用信息到服務進程，然后等待應答信息。當一個調(diào)用信息到達，河北理工大學畢業(yè)設計說明書 第 13 頁 共 51 頁 服務器獲得進程參數(shù)，計算結(jié)果，發(fā)送答復信息，然后等待下一個調(diào)用信息，最后，客戶端調(diào)用過程接收答復信息，獲得進程結(jié)果，然后調(diào)用執(zhí)行繼續(xù)進行。此問題是由錯誤地處理格式 不正確的消息造成的。此接口處理客戶端計算機向服務器發(fā)送的 DCOM 對象激活請求（例如通用命名約定 (UNC) 路徑）。最初由 Sun 公司提出?，F(xiàn)在使用最普遍的模式和執(zhí)行是開放式軟件基礎的分布式計算環(huán)境（ DCE）。 （ 1）由于 RPC COM 已經(jīng)有攻擊未打補丁的 Win2021/WinXP 的通用攻擊代碼發(fā)布出來，因此該漏洞更有可能被利用制作成為能夠感染具有 RPC DCOM 漏洞的 Win2021/WinXP機器的蠕蟲。 我們只要簡單的修改一下該 exploit, 使之能自動產(chǎn)生隨機 IP 地址，然后對這個IP進行攻擊嘗試，就可以完成 worm 的攻擊模塊。這些其實修改起來其實非常的容易。比如簡單的在主機上添加一個管理員用戶，開一個 shell 端口，反連一個 shell或者使計算機自動從某一個 FTP或者 HTTP服務器自動下載程序并執(zhí)行等。如 exec mand shellcode, bind port shellcode, connect back shellcode, down file and exec shellcode, down url file and exec shellcode 等，你容易在網(wǎng)上找到它，如 hsj的 ida 溢出 exploit 里就有一個 down file and exec shellcode 等。這里對上面談到的 shellcode 類型分別做一個簡單的比較，以找出 RPC DCOM 最可能利用的傳播途徑。但有對防火墻過濾了 Netbios 或者主機上不存在共享的情況下，不大好利用，而且， RPC DCOM 的攻擊代碼溢出后獲得的是 system 權(quán)限，想直接通過 shellcode 或者下載的程序來遠程用 Netbios 拷貝文件比較困難，需要有一個 system to user 的權(quán)限轉(zhuǎn)換模塊，所以為了更高效的利用這個漏洞，達到傳播快和速度大的 RPC DCOM 蠕蟲不大可能利用這種技術。甚至可以把所有需要用到的功能全寫進 shellcode 里去，如年初掃蕩全球的 sql worm, 把攻擊，感染，傳播三個模塊寫到短短的 200 多個 16進制代碼里實現(xiàn)。 ③ 簡單的開一個 bind port shell, 你可以執(zhí)行系統(tǒng)命令，比如 echo 寫入一個腳本下載 FTP 站點里的程序并執(zhí)行， 甚至直接用 TFTP 下載程序等。 ④ 反連的 shellcode 跟 bind port shell 差不多，不過這個可以把反連的這個監(jiān)聽端口做成一個 server 形式，以便于接受多個連接，然后自動對每一個連接發(fā)送一些指令，使機器能完成傳播。 ⑤ 還記得 hsj 的 ida 溢出的 exploit 吧，該 exploit 監(jiān)聽一個端口，對目標 溢出攻擊成功后，目標系統(tǒng)反連攻擊機的這個端口接受一個指定的文件并保存在本機硬盤上，然后執(zhí)行，這其實跟反連 shellcode 差不多，只是一個是反連一個 shell，另一個是反連回來取文件。 ⑥ 把程序放在某一個域名或者 IP 的 FTP/HTTP 站點里，所有感染的機器從這里取程序，下載到本地后執(zhí)行。因為大規(guī)模感染的情況下，第一個倒下的是你的 FTP/HTTP 服務器。居于 Redcode/nimda 的成功先例，這應該是蠕蟲作者考慮中的傳播途徑。更多的，你自己自由發(fā)揮想象力．．． （ 4）加大蠕蟲傳播的途徑，還可以考慮 nimda 的 , html, bios 共享等方法來進行繁殖和傳播，做到這一點就可以把 RPC DCOM 做成一個繼 nimda 后的第二個超級蠕蟲。 （ 6）功能模塊中，還可以加上木馬功能或者 DDoS 功能，比如所有感染的機器同時向 whitehouse， microsoft 或者其他網(wǎng)站網(wǎng)站進行 DDoS 攻擊，以完成更大的殺傷力。 2． 2． 2 DCOM：分布式對象模型 分布式對象模型 (DCOM) 是一種能夠使軟件組 件通過網(wǎng)絡直接進行通信的協(xié)議。 2． 2． 3 緩沖區(qū)溢出 1．緩沖區(qū)溢出攻擊是一種系統(tǒng)攻擊手段，利用目標程序的緩沖區(qū)溢出漏洞（即通過往目標程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出的方法）通過操作目標程序堆棧并暴力改寫其返回地址，使程序轉(zhuǎn)而執(zhí)行其它命令，從而獲得目標控制權(quán)（根用戶權(quán)限）的攻擊手段。攻擊者編寫數(shù)據(jù)，超出預分配的空 間，則攻擊者幾乎可以對程序中緊鄰該緩沖區(qū)的數(shù)據(jù)做任意的改變。 通過攻擊堆棧的緩沖區(qū)，攻擊者可以達到兩個目的。這個可執(zhí)行的代碼就是攻擊者希望被攻擊的機器運行的代碼，例如： exec（ “ sh” ），這會產(chǎn)生一個 root shell，給攻擊者以 root 權(quán)限。緩沖區(qū)溢出則修改返回地址為攻擊代碼的地 址，則當函數(shù)調(diào)用結(jié)束返回時程序就跳轉(zhuǎn)到了攻擊代碼。插入的代碼通常都只有很短的一段，其產(chǎn)生一個帶有 root 權(quán)限的 shell。如果輸入是本地的，則本地用戶可以通過這個方法獲得超級用戶權(quán)限，如果程序運行通過網(wǎng)絡遠程輸入，則遠程的攻擊者可以獲得超級用戶權(quán)限。為了理解緩沖區(qū)溢出的本質(zhì)，需要先對程序運行河北理工大學畢業(yè)設計說明書 第 17 頁 共 51 頁 時計算機中的內(nèi)存是如何分配的有所認識。當編譯后的 C 程序運行時，內(nèi)存將被劃分為代碼區(qū)，數(shù)據(jù)區(qū)和堆棧區(qū)。在 C 程序中，堆棧和堆都可以被利用來進行溢出。 在 C 程序中每當調(diào)用函數(shù)時，就會自動處理堆棧分配。許多內(nèi)容都可能進入堆棧區(qū)，通常其內(nèi)容與計算機體系結(jié)構(gòu)和編譯器相關 ，一般而言，如下內(nèi)容都將被儲存在堆棧中：函數(shù)的非靜態(tài)局部變量值，堆?；?，當函數(shù)返回程序應該跳轉(zhuǎn)到的地址以及傳遞到函數(shù)中的參數(shù)。完成后，調(diào)用者使用調(diào)用指令來調(diào)用函數(shù)。最后，調(diào)用指令將程序讀數(shù)器設置為正（ 2）被調(diào)用的函數(shù)地址，執(zhí)行權(quán)交給被調(diào)用函數(shù)。然后設置 BP 內(nèi)容為自己的堆棧基址，亦即當前的堆棧指針。 （ 3）調(diào)用函數(shù)結(jié)束：當被調(diào)用執(zhí)行完成后，調(diào)用者更新堆棧指針以返回地址 IP，調(diào)用返回指令將程序控制權(quán)交給返回地址上的程序。 從以上的過程中可以看到，發(fā)生函數(shù)調(diào)用時的堆棧分配過程中，非靜態(tài)局部變量緩沖區(qū)的分配和填充不是同時進行的 ，并且依據(jù)不同的標準，局部變量分配是依據(jù)局部變量的聲明，而填充則是依據(jù)實際被賦予的值因此這個過程中就出現(xiàn)了安全漏洞。根據(jù)上面的討論，當實際賦入局部變量的值長度超出緩沖區(qū)長度，而程序中又缺乏邊界檢查機制時，數(shù)據(jù)就會繼續(xù)向棧底寫入，導致棧中老的元素被覆蓋，而被改寫的將是?；?BP 和返回地址 IP，這樣緩沖區(qū)溢出攻擊就可以實現(xiàn)了。而且此時擁有的權(quán)限與運行程序所需的權(quán)限相同 ，這就是緩沖區(qū)溢出攻擊的原理。 河北理工大學畢業(yè)設計說明書 第 18 頁 共 51 頁 （ 1）攻擊代碼值入目標程序地址空間?？梢岳帽还舻某绦蛑械拇a來達到攻擊目的。常見的方法是通過溢出代碼傳遞攻擊代碼，此時攻擊代碼將出現(xiàn)在堆棧局部變量緩沖區(qū)中，另一種方法是將攻擊代碼存放在變量值中，此時攻擊代碼將被存放在數(shù)據(jù)區(qū)中。由于程序的堆棧區(qū)起始地址是固定的，因 此很容易獲得堆棧起始地址。對此，可以在攻擊代碼前插入大量空操作來大大降低其難度。實踐證明，這可以相當有效的減少定位攻擊代碼所需的時間，然后只要溢出一個沒有邊界檢查的緩沖區(qū)，以暴力手段改寫返回 IP 就可以了。攻擊者找到一個溢出漏洞，然后向被攻擊程序傳送一個很大的字符串（其中包括攻擊代碼），在 引發(fā)緩沖區(qū)溢出的同時植入了攻擊代碼，這就是緩沖區(qū)溢出的 levy 攻擊模板，攻擊者也可以通過多次完成代碼植入和緩沖區(qū)溢出的動作，攻擊者可以在一個緩沖區(qū)內(nèi)放置代碼而不溢出它，之后攻擊者可以通過再溢出另一個緩沖區(qū)來將程序指針定位到攻擊代碼。 4． 如何防止溢出提升權(quán)限攻擊的解決辦 法。因此我們必需要在還未被 入侵之前，通過一些系列安全設置，來將入侵者們擋在 安全門 之外 。 （ 1） 如何可以防止溢出類的駭客攻擊呢 ? ① 盡最大的可能性將系統(tǒng)的漏洞補丁都打完 。如果您的服務器為了安全起見 禁止了對公網(wǎng)外部的連接的 話，可以用 Microsoft WSUS 服務在內(nèi)網(wǎng)進行升級 ② 停掉一切不需要的系統(tǒng)