IL WORM Cos è un worm Un worm è un processo che sfrutta il meccanismo di generazione per minare le prestazioni di un sistema Un worm genera copie di se stesso logorando le risorse di un sistema, talvolta al punto da renderlo inutilizzabile da tutti gli altri processi I worm diventano particolarmente potenti sulle reti di trasmissione, poiché hanno la possibilità di riprodursi sui diversi sistemi ad esse collegati e quindi far cadere l intera rete: Cos è un worm Il 28 gennaio 2003 abbiamo assistito in Italia, al caso eclatante e di 14.000 uffici postali bloccati dal worm La creazione di questo worm pare essere opera di un gruppo di cracker cinesi contrariamente ai vecchi worm, non danneggia file e programmi ma rende di fatto inutilizzabile la rete considerando il ritmo velocissimo con il quale riesce ad auto-replicarsi: circa 8.000 copie in un ora L effetto finale prodotto dal worm è la negazione del servizio La sua altissima capacità di autoreplicarsi finisce col rallentare la rete mettendo fuori gioco i computer per un eccesso di tentativi di attacco
colpisce i sistemi su cui sono in esecuzione Microsoft SQL Server 2000 e Microsoft Data Engine (MSDE) 2000 Questi sistemi sono attaccati inviando 376 byte alla porta UDP 1434 assegnata al servizio SQL Server Resolution Service non memorizza copie di se stesso sul disco, infatti è completamente memory-residentresident Esiste solo sotto forma di pacchetti di rete e processi eseguiti nella memoria dei computer infetti Porta UDP 1434 Hard disk Computer infetto DatagramUDP di 376 byte contenente il codice del worm Computer attaccato Il worm si trasmette attraverso Datagram UDP si memorizza solo in RAM sfrutta la vulnerabilità nota come buffer overflow che consiste nel riempimento, oltre limite, del buffer sullo stack del server di dati arbitrari. usa un generatore di numeri casuali per ottenere indirizzi IP di potenziali macchine vittime Il worm si propaga inoltrandosi a questi indirizzi IP sulla port a UDP 1434 della macchina remota, in modo da contattare il server SQL se presente Dati caricati OVERFLOW IP1 IP3 stack Il buffer overflow permette l'esecuzione del codice del worm consentendo ad un attaccante remoto di prendere il controllo della la macchina vittima. Generatore di numeri casuali IP2 IP4 IP5 Entità della diffusione del worm nel mondo Il worm può essere rimosso automaticamente riavviando la macchina Non rende la macchina immune da una nuova infezione ha attaccato i server delle poste italiane e anche numerosi altri sistemi informatici in Italia e nel mondo La figura seguente mostra l'espansione geografica di nei 30 minuti dopo il suo exploit, cioè la sua fase iniziale di propagazione La grandezza di ogni cerchio è proporzionale al grado di diffusione del worm nel paese su cui è indicato Per proteggere i sistemi vulnerabili la Microsoft ha rilasciato delle patch cha vanno installate su tali sistemi aggiornamenti dei programmi con revisione degli errori di programmazione in essi individuati
Packet Trace Il seguente datagram viene inviato da un computer infetto ad uno vulnerabile Il byte 0x04: : un datagram, che viene ricevuto da un sistema SQL Server vulnerabile, con il primo byte uguale a 0x04, viene interpretato come una richiesta. I byte 68 6F 75 6E 74 68 69 63 6B: : sequenza di byte che permette di avvallare il sospetto che il datagram in cui è contenuta sia quello del worm, in quanto si trova in tutti i datagram. Descrizione dei passi di attacco e propagazione Datagram UDP Viene trasmesso Porta UDP 1434 Attacca la macchina vittima Computer infetto Generatore di numeri pseudocasuali di utilizza un generatore a congruenze lineari nell'algoritmo di generazione di numeri pseudo casuali PRNG (Pseudo Random Number Generator). Dati caricati stack OVERFLOW Il worm causa Si diffonde inoltrandosi verso altri indirizzi IP IP1 Generatore di numeri casuali IP3 Generatore di numeri casuali IP1 IP3 IP4 IP2 IP5 IP2 La sequenza di valori X, X, X 1 2 3 viene prodotta dalla formula X i+1 = (X i *a + b) mod m a partire da un valore iniziale X 0, detto seme X 0 = numero di millisecondi trascorsi dal boot del sistema m = 2 32 range del risultato a = 214013 b = 2531 011 Strumenti dirimozione Generatore di numeri pseudocasuali di SQL SLammer
Pseudocodice del worm ws2_32handle = LoadLibrary (ws2_32.dll); La funzione Load Library viene invocata per ottenere gli handles delle librerie in cui sono localizzate le funzioni utilizzate dal worm GetProcAddress viene invocata per ottenere l indirizzo della funzione GetTickCount() della libreria kernel32.dll Puntatore A Funzione = GetProcAddress (kernel32handle,gettickcount); kernel32handle = LoadLibrary (kernel32.dll); Tali librerie sono ws2_32.dll e kernel32.dll Output: puntatore alla libreria Input: libreria kernel32hndle, funzione GetTickCount Pseudocodice del worm è utilizzata anche per ottenere gli indirizzi delle funzioni socket() e sendto() Crea un nuovo canale di comunicazione verso l esterno GetProcAddress (ws2_32handle,socket); GetProcAddress (ws2_32handle,sendto); [Socket setup] IPAddress = GetTickCount(); Setta dei parametri predefiniti (protocollo di comunicazione usato, tipo di indirizzo,numero di porta, ecc) invia messaggi sul canale di comunicazione creato restituisce il seme iniziale per il sul generatore di numeri casuali Pseudocodice del worm Loop infinito che genera nuovi indirizzi IP e li attacca while (true) { IPAddress = generaterandom (IPAddress); Send Copy of Self through UDP } invia il buffer in cui è memorizzato il pacchetto contenente il wormstesso utilizzando la funzione sendto() Pseudocodice dl worm Descrizione delle vulnerabilità dei sistemi colpiti I database server Microsoft SQL Server 2000 presentano una vulnerabilità di buffer overflow. L'obiettivo dell'attaccante è riuscire ad acquisire i privilegi del processo server per poter agire indisturbato come se sulla macchina attaccata continuasse la normale esecuzione del processo server.
Buffer overflow Buffer = blocco contiguo di memoria che contiene più istanze dello stesso tipo di dato Stack = area di memoria contigua gestita in modalità Last In First Out (LIFO) Operazioni principali: - push, aggiunge un elemento in cima allo stack - pop, rimuove un elemento dalla cima dello stack Esempio di overflow del buffer sullo stak Il buffer allocato sullo stak non è abbastanza capiente da contenere la stringa arrivederci, pertanto viene causato l overflow L indirizzo della prossima istruzione da eseguire viene sovrascritto IP = istruction pointer, Stack pointer = contiene l indirizzo della puntatore alla prossima istruzione da cima dello stack eseguire Frame Pointer = puntatore a frame Buffer overflow Come il worm sfrutta l overflow del buffer Il worm che viene ricevuto da un sistema vulnerabile viene ricopiato nel buffer dello stack Il worm causa l overflow del buffer L IP viene sovrascitto con l indirizzo della prima istruzione del worm Il primo byte del pacchetto del worm è 0x04. Al byte 0x04 segue una sequenza di byte costituita dai dati di padding e dal codice del worm Il server SQL interpreta questi byte come dati supplementari dell'utente e li carica su uno stack. La quantità di byte è tale da causare l overflow del buffer sullo stack Indirizzo di ritorno salvato sullo stack viene sovrascritto dall indirizzo della prima istruzione del worm Un attaccante è in grado di ottenere il controllo del processo SQL Server e del suo percorso di esecuzione Buffer overflow Buffer overflow Software vulnerabili Il worm è in grado di infettare: Macchine su cui sono in esecuzione Microsoft SQL Server 2000 o MSDE 2000. Sistemi su cui sono in esecuzione applicazioni che implicitamente ( silenziosamente ) installano Microsoft SQL Server 2000 o MSDE 2000. Esempi di tali applicazioni sono: Microsoft Biztalk Server Microsoft Office XP Developper Edition Microsoft Project Microsoft SharePoint Portal Server Microsoft Visio 2000 Microsoft Visual FoxPro Microsoft Visual Studio.NET Compaq Insight Manager Crystal Reports Enterprise HP Openview Internet Services Monitor ecc
Come capire se sulla propria macchina sono in esecuzione MS SQL Server 2000 o MSDE 2000 La presenza di SQL Server 2000 o di MSDE 2000 su una macchina è rilevabile: dalla presenza di un'icona sulla System Tray che appare come un computer con un cerchio bianco e un bottone play verde su di esso. per controllare se SQL Server è in esecuzione si può controllare che la porta UDP 1434 del sistema sia aperta. Per fare ciò bisogna: cliccare su Start/Run e digitare "netstat -p udp -a 100" controllare se nell'output visualizzato compare una linea del tipo "UDP YOURCOMPUTERNAM E:ms -sql-m". In caso affermativo bisognerebbe applicare una patch al fine di poter proteggere il proprio sistema. Per uscire dalla finestra visualizzata è necessario digitare Ctrl-C. Software vulnerabili Software vulnerabili Oppure per controllare se MSDE 2000 è in esecuzione si possono eseguire i seguenti passi: Fare clic con il pulsante destro del mouse sull icona Risorse del computer Scegliere Gestisci Fare doppio clic su Servizi e Applicazioni Fare doppio clic su Servizi Se MSSQLSERVER appare nell'elenco dei servizi allora l'istanza predefinita di MSDE è installata nel computer Software vulnerabili Impatto del worm Velocità di propagazione del worm Ampio utilizzo di bandwith di rete Alto volume di traffico sulla porta UDP 1434 dei sistemi attaccatiati Degrado delle performance degli host infettati Condizioni di Denial of service (negazione di servizio) Nel primo minuto della sua espansione la taglia della popolazione contagiata raddoppia ogni 8.5 secondi Il worm raggiunge il massimo scanning rate in circa 3 minuti Le macchine più vulnerabili sono contagiate entro 10 minuti dall exploit del worm
Il worm è così veloce perché Invia pacchetti UDP di soli 376 byte Compie scansioni senza aspettare una risposta dalla potenziale vittima Contiene un veloce analizzatore di rete Schede di confronto Diffusione Tipo Lunghezza dell'infezione Sistemi operativi minacciati Sistemi operativi non minacciati Worm 376 byte Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux Nimda Virus, Worm Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me Macintosh Code Red Worm 3569 byte Numero di macchine infette Numero di sedi infette Distribuzione geografica Contenimento della minaccia Rimozione Più di 1000 Più di 10 Alta Facile Facile Nimda Più di 1000 Più di 10 Media Moderata Moderata Code Red Più di 1000 Più di 10 Bassa Facile Facile Schede di confronto Effetto nocivo (payload) Instabilità del sistema: può impedire l'accesso alla rete. Danno Nimda Code Red Distribuzione di massa tramite Instabilità del posta elettronica; invia copie di sistema: crea stesso come Readme.exe (NON numerosi thread e è possibile vedere questo file utilizza bandwidth come allegato al messaggio di Rilascio di posta ricevuto). informazioni Modifica File: si sostituisce a riservate. diversi file legittimi. Instabilità del sistema: può causare rallentamenti del sistema. Compromissionedelle impostazioni di sicurezza: apre l'unità C come condivisione di rete. Porte Nome dell'allegato Dimensione dell'allegato Unità condivise Bersaglio dell'infezione Distribuzione Porta UDP 1434. Il worm invia ripetutamente volumi di traffico ad indirizzi IP da esso generati, e tenta di inviarsi ad host sul servizio Microsoft SQL Server Resolution, mettendosi in ascolto di questa s pecifica porta. Nimda Readme.exe 57344 byte. Code Red apre condivisione di rete tenta di infettare Sistemi non server IIS non aggiornati con aggiornati. Microsoft Index 2.0 o Windows 2000 Index ing Service. Schede di confronto Schede di confronto
Confronto fra tasso di infezione di SQL Slqmmer e tasso di infezione di Code Red Velocità di diffusione del wormsql Slammer Totale delle infezioni Nuove infezioni Velocità di diffusione del wormcode Red L aumento del numero di indirizzi IP attaccati è stato più veloce per il worm che per il worm Code Red Protezione dal worm Strumenti softaware progettatiti dalla Microsoft per proteggere le installazioni di Microsoft SQL Server e Microsoft SQL Server Desktop Engine 2000: SQL Server 2000 SQL Scan Tool (SQL Scan) SQL Check SQL Critical Update Passi compiuti dallo strumento di rimozione del worm 1. Determina se sul computer è presente il file.dll vulnerabile 2. Individua e inattiva il thread del worm nel processo sqlserver.exe 3. Visualizza un avviso relativo alla patch di Microsoft da installare. La patch è disponibile in Microsoft Security Bulletin MS02-061061 Protezione dal worm Come ottenere ed eseguire lo strumento di rimozione 1. Scaricare il file FixSQLex.exe all'indirizzo: http://securityresponse.symantec.com 2. Salvarlo su una posizione di uso pratico, quale la cartella download o il desktop (oppure, se possibile, su un supporto rimovibile che si sappia con certezza non essere infetto) 3. Le informazioni su come verificare l'autenticità della firma digitale sono riportate successivamente 4. Chiudere tutti programmi in esecuzione prima di avviare lo strumento. 5. Fare doppio clic sul file FixSQLex.exe, per avviare lo strumento di rimozione 6. Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento 7. Riavviare il computer 8. Eseguire nuovamente lo strumento di rimozione per assicurarsi che il sistema sia del tutto privo di infezioni 9. Eseguire LiveUpdateper per accertarsi di disp 4 Protezione dal worm Protezione dal worm
Filtri di input/output I filtri di input consentono soltanto a traffico controllato di entrare nella rete che proteggono I filtri di output consentono soltanto a traffico controllato di uscire dalla rete che proteggono Hanno lo scopo di bloccare traffico non autorizzato Hanno il solo l'effetto di limitare i danni causati dai sistemi già infettati dal worm Non forniscono una protezione all'infezione iniziale dei sistemi Il blocco di datagram UDP con numero di porta sorgente o destinazione 1434 da parte di un sistema, riduce il rischio di essere infettato da o di infettare sistemi esterni Filtri di input/output