Conficker成为最近的一个热门的话题。这是“红色代码”之后最广的病毒。新闻已经谈过关于它了,我决定写一篇文章。
本文关注的是这个病毒所使用的传播技术,尤其是它在Window Server服务中利用了MS08-067安全漏洞。
技术细节
RPC协议在Server服务中的远程程序支持任何路径转换(例如,\\C:\Program Files\..\Windows)到规范路径(\\C:\Windows)。但是,Windows没有处理好过长的路径,从而造成缓冲区溢出。
为了具体化,Windows(Svchost处理程序)使用netapi32.dll库中的NetpwPathCanonicalize()函数以完成执行上述操作。下面内容是伪代码:
func _NetpwPathCanonicalize(wchar_t* Path)
{
// 检查路径长度
if( !_function_check_length(Path) )
return;
...
_CanonicalizePathName(Path);
...
return;
}
func _CanonicalizePathName(wchar_t* Path)
{
// 保护堆栈的cookie - /GS
_save_security_cookie();
...
wchar _wcsBuffer[420h];
...
// 这是函数引起的超出限制
wcscat(wcsBuffer,Path);
...
// 转换
_ConvertPathMacros(wcsBuffer);
...
return;
}
正如我们从伪代码中看到的,NetpwPathCanonicalize()检查路径长度之前通过它变成CanonicalizePathName()函数。然而,CanonicalizePathName()使用wcscat()来复制路径到局部变量(wcsBuffer)。结果,该函数在第一次运行将不会引起缓冲溢出。例如,the contents of wcsBuffer after each call to this function would be:
- 访问 1 : wcsBuffer = "\\a\aaaaa\aaaa\..\..\a"
- 访问 2 : wcsBuffer = "\\a\aaaaa\aaaa\..\..\a\\a\aaaaa\aaaa\..\..\a"
- 访问 3 : wcsBuffer = "\\a\aaaaa\aaaa\..\..\a\\a\aaaaa\aaaa\..\..\a\\a\aaaaa\aaaa\..\..\a"
- ……
因此,我们一定能够溢出Server服务的几个访问NetpwPathCanonicalize()函数远程提供适当的路径长度。此时,似乎路径已清理完毕了。
但其他两个出现障碍:
Cookie : CanonicalizePathName()函数是基于/GS选项,以保护cookie返回地址。每当返回地址被覆盖重写,缓冲区就会引起溢出。
DEP : Server服务进程(svchost.exe)的保护DEP默认的。因此,如果Shellcode放在堆栈中,DEP将不会允许代码执行。
利用什么技术使用Conficker?
现在注意一个函数用于CanonicalizePathName(),这是微软的ConvertPathMacros()。此函数不执行任何Cookie,并因此采取了优势Conficker重新控制Shellcode。
实际上,ConvertPathMacros()没有任何一部分代码直接复制和这样的缓冲区溢出。它是由能够覆盖返回地址,这个函数由于一个缺陷在字符串处理算法中。因此,wcscpy()函数访问内部ConvertPathMacros(),其返回地址就会覆盖。
为绕过DEP,Conficker利用ZwSetInformationProcess()函数中禁用的DEP运行模式。在此之后,Conficker重定向控制Shellcode的堆栈。
Conficker可以利用在AcGenral.dll库中,这是加载的Svchost,即要客服以往的保护机制。
因此,在该方法的利用中,Conficker只需要调用NetpwPathCanonicalize()一次,以成功的攻击。
Conficker散布模块
使用上面的技术,Conficker可以利用许多不同的Windows版本(XP SP2/SP3)。特定的IP地址,Conficker大量的恶意代码将试图攻击每一个版本的Windows。这增加了攻击者的成功率。下面内容是伪代码:
func __Thread_Attack (IpAddress)
{
...
// 在Shellcode创建一个网址下载病毒
url = Make_Url_Download();
...
While(1)
{
// 如果连接失败,中止
if( ! IsConnect(IpAddress)) return;
...
// 创建攻击缓冲区,每次访问Make_Buffer()
// 缓冲区的一个特定的Windows版本将创建
buffer = Make_Buffer(url, buffer);
...
// 攻击
Attack(IpAddress, buffer);
// 等待1秒钟,如果成功利用,暂停循环
// 如果没有,尝试利用下一个缓冲区
if( WaitForSingleObject(1000) != WAIT_TIMEOUT ) break;
}
}
Conficker Shellcode活动
-解码
-获取地址必需的API函数:LoadLibrary(), ExitThread()
-加载urlmon.dll库到进程中
-获取地址Urlmon.dll中的URLDownloadToFileA()函数
-使用HTTP协议的计算机下载病毒
-源地址用于下载:http://xxxxxx:port/xxxxx
-下载病毒保存的名字x
-杀掉线程(ExitThread)
尾声:
如果你喜欢/研究病毒的工作机制,希望这对你有所帮助;
任何错误、疑问请发送至我的E-mail: Hack01[at]Live{dot}cn
# The Hacker NetSpy [Czy]
◆◆
评论读取中....
请登录后再发表评论!
◆◆
修改失败,请稍后尝试