| Вован | Дата: Четверг, 30.06.2011, 01:27 | Сообщение # 1 |
 Генералиссимус
Группа: Администраторы
Сообщений: 42
Статус: Offline
| Конструктивные особенности червя
С анатомической точки зрения червь представляет собой морфологически неоднородный механизм, в котором можно выделить меньшей мере три основных компонента:
Компактную голову и протяжённый хвост с ядовитым жалом. Разумеется, это только схема, и черви совсем не обязаны ей подчинятся. Необходимость деления монолитной структуры червя на голову и хвост вызвана ограниченным размером переполняющихся буферов, который в подавляющем большинстве случаев не превышает пары десятков байт. Только самым крохотным и примитивным червям удаётся втиснуться в этот объём целиком, в остальных же случаях сначала на атакуемую машину забрасывается загрузчик, устанавливающий ТСР/IP- соединение и подтягивающий оставшийся хвост, иначе называемый основным телом червя. Голова червя отвечает за переполнение буфера, захват управления удалённой машиной, установку ТСР/IP – соединения и транспортировку хвоста. Образно говоря, голова – это ниндзя, десантирующийся в укреплённый район вражеского подразделения, бесшумно делающий охране харакери, отпирающий ворота и зажигающий посадочный маяк, обеспечивающий приземление основной группы. Голова червя включает в себя, как минимум, запрос, посылаемый серверу, срывающий крышу одному из его буферов и передающий управление либо на shell- код, либо на секретную функцию root, обеспечивающую удалённый доступ к серверу. Голова червя чаще всего пишется на Ассемблере, а в наиболее ответственных случаях – непосредственно в машинном коде ( трансляторы Ассемблера не переваривают многих эффективных трюков и извращений ).
Собственно говоря, голов у червя может быть и несколько. Тогда он сможет поражать несколько различных типов серверов ( например, MS SQL, MS IIS и SendMail сервера ), значительно расширяя ареал своего обитания. У червя Мориса было две головы: одна поражала finger, другая – sendmail. У MWORM “ а целых пять голов, что позволяло ему распространяться через web, ftp – серверы и дыры в rpc-, bind- и lpd-демонах. Love San, Slammer имели по одной голове, что совсем не помешало им занять первые места в Топ 10. Как видно, количество голов само по себе ещё ни о чём не говорит, и одна умная голова лучше трёх тупых.
Голова червя Code Red, расположенная в первом TCP-запроса
GET /default. Ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXX XXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
%u9090%u6858%ucbd3%u7801%u9090%6858%ucbd3% u7801%u9090%u6858%ucbd3%u7801%u9090
%u9090%u8190%00c3%u8b00%u531b%u53ff%u00C0%u00= a HTTP 1. 0
Content- type: text/ xml.
Content- length: 3379
Хвост червя решает более общее задачи. Оказавшись на территории вероятного противника, спецназ должен первым делом окопаться, укоренившись в системе. Некоторые черви зарываются в исполняемые файлы, прописывая путь к ним в ключе автоматического запуска, некоторые довольствуются одной лишь оперативной памятью, погибая после выключения питания или перезагрузки. И знаете, это правильно! Настоящий червь должен вести каченную жизнь, блуждая от машины к машине, - в этом и есть его предназначение. Как говорится, мавр сделал своё дело и может уходить. Сделать червю предстоит не так уж и много: найти по меньшей мере две жертвы, пригодные для внедрения, и забросить в них свою голову ( точнее, копии своих голов ну чем ракета-носитель с раздевающейся боеголовкой? ). Теперь даже если червь умрёт, численность его популяции будет расти в геометрической прогрессии. Ввиду высокой алгоритмической сложности и отсутствия ограничений на предельно допустимый размер хвост червя чаще всего разрабатывается на языках высокого уровня, например Си, хотя Форт или Алгон подошли бы ничуть не хуже. Но это уже дело вкуса, о котором не спорят (хотя Си всё равно лучше).
Хвост червя Морриса ( приведён лишь конечный фрагмент)
Rt_init()/* 0x2a26 */
{
FILE *pipe:
Char input_buf[64]:
Int 1204. 1304:
Ngateways = 0:
Pipe = popen (XS(“/usr/ucb/netstat -r n” ). XS(*r”) ):
/*&env102.&env 125 */
If (pipe == 0) return 0:
While (fgets(input_buf. Sizeof(input_buf). Pipe))
{ /* to 518 */
Other_sleep(0):
If (ngateways >=500) break:
Sscanf(input_buf. XS(“%s%s”). 1204. 1304):/* <env+127>”%s%s” */
/*other stuff. I ]] come back to this later */
}/* 518. back to 76 */
Pclose(pipe):
Pclose(pipe):
Rt_init_plus_544():
Return 1:
}/* 540 */
Подавляющие большинство червей не ядовито, весь вред от них сводится к перегрузке сетевых каналов из-за неконтролируемого размножения. Лишь у немногих на конце хвоста расположено ядовитое жало или, в более общем случае, полезная нагрузка (читай боевая начинка). Например червь может устанавливать на атакуемой машине терминальный shell, предоставляющий возможность удалённого администрирования. До тех пор, пока эпидемия такого червя не будет установлена, в руках его создателя окажутся рычаги управления нашим миром, и он в любой момент сможет прервать его бренное существование. Нет атомные электростанции взорвать не удастся, но вот подорвать экономику, уничтожив банковскую информацию, сможет даже начинающий хакер. Скажу вам по секрету, знающие люди утверждают: такая угроза возникла уже неоднократно, и лишь грубые ошибки, допущенные при проектировании червей, не позволили ей воплотится в реальность. Так что учтите матчасть!
Последний писк моды - модульные черви, поддерживающие возможность удалённого конфигурированния и подключения плагинов через Интернет. Только прикинте, насколько усложняется борьба в условиях непрерывно изменяющейся логики поведения червя. Администраторы ставят фильтры, а червь их успешно преодолевает! Запускают антивирус, червь подхватывает брошенный ему щит и, воспользовавшись замешательством противника, со всей дури бьёт его по голове. Правда, и проблем здесь тоже хватает. Система распространения плагинов, должна не только, полностью децентрализована, но и уметь при случае постоять за себя, иначе администраторы подкинут плагин-бомбу, ко всем чертям разрывающею червя на куски. В общем, тут есть ещё над чем подумать и поработать!
|
| |
| |
