作者 澄清 2006/08/15 抱歉，我必須修正本文，關於此攻擊程式對於Windows XP繁體版之行為 我之前說 『該攻擊程式對於繁體中文 不會造成嚴重傷害』 今天實驗證實 我昨天說的是錯的 該攻擊程式可以對沒有修補過的WinXP SP1中文版開啟後門 更可以造成其他嚴重的傷害，請各位小心 這是一個真實的事件 一場生吞活剝的網路攻擊。 首先， Microsoft 在 2006年8月8日公佈了 編號為 MS06-040 的系統漏洞 http://www.microsoft.com/technet/security/bulletin/MS06-040.mspx (中文的資訊在8/10公佈) https://www.microsoft.com/taiwan/technet/security/bulletin/MS06-040.mspx 這個弱點公告說了什麼？ 其實就在這一行講得清清楚楚： Server 服務中的弱點可能會允許遠端執行程式碼 (921883) 講白話，就是說某個Server程式具有漏洞，攻擊者可以透過這個漏洞， 在你的電腦上執行任意他想要做的動作。 這種漏洞跟blaster的MS03-026、Sasser的MS04-011、或是PNP MS05-039 一樣危險。 換言之，處理不好，就可能造成與 疾風病毒 同樣嚴重的傷害。 Ok，暗黑莫非定律 『情勢只要有變糟糕的可能，就會一路爛下去』 首些我找到一些國外資安的討論 在 8/11 號 eEye這公司提供了 MS06-040弱點掃描軟體 http://www.it-observer.com/news/6660/ eeye_offers_free_ms06_040_vulnerability_scanner/ 其中有一句駭人聽聞的說法： This vulnerability was being exploited in the wild as a "zero day" attack previous to Microsoft's patch release. 什麼意思呢？ 這個漏洞遠在MS自己發現前，就已經被 "其他高人"所發現， 更可能早就被加以利用與攻擊。 換句話說，這個漏洞可能在7月甚至 6月就已經被發現了。而且當時沒有任何修補與防禦的辦法。某些人可能早已 葬身與此，只是他們不知道而已。 之後，更可怕的消息出來了。 http://isc.sans.org/diary.php?storyid=1582&rss MS06-040 exploit(s) publicly available 什麼意思呢？針對 MS06-040 的攻擊程式已經 『對外公佈』了... 這代表寫這種蠕蟲已經不是 "某些人的秘密技術" 任何人只要能夠找到這個攻擊程式，加以修改，就是一個獨一無二的新蠕蟲。 然後就可以在網路上散佈，大肆攻城掠地。 沒錯，事情果然是這麼糟糕...運用這種攻擊技術的蠕蟲已經出現了... http://www.tweakness.net/index.php?topic=2809 http://www.eweek.com/article2/0,1895,2002132,00.asp "With Exploits Out, MS Braces for Worm Attack" http://news.yahoo.com/s/cmp/191901665 "Windows Worm Warnings No Joke" 這邊有一些比較技術性的說明與現象的發覺： http://isc.sans.org/diary.php?storyid=1595 "Programs That Request A Lot Of Contiguous Memory May Fail After Security Update Is Applied (NEW)" http://isc.sans.org/diary.php?storyid=1592 *MS06-040 exploit in the wild (NEW) http://isc.sans.org/diary.php?storyid=1593 "MS06-040 wgareg / wgavm update (NEW)" 我想，上面的文章很明確的記載 他們發現到的惡意攻擊、攻擊方式， 與執行檔名稱。 Ok, 故事到這裡，已經演變成一個大規模散佈的蠕蟲， 接下來的故事不用講了。應該會有一狗票的人因為沒有patch而中毒， 然後又是一段慘痛的災後修補、blah~blah~~ 在這樣黑暗的時代，有沒有比較光明的消息？ 有的，但是要從最黑暗的地方看到光明 http://www.milw0rm.com/exploits/2162 這是用於 metasploit的攻擊模組，也就是 MS06-040 攻擊的元兇：主要攻擊程式。 其中有一段寫到： 'Targets' => [ [ '(wcscpy) Automatic (NT 4.0, 2000 SP0-SP4, XP SP0-SP1)' ], [ '(wcscpy) Windows NT 4.0 / Windows 2000 SP0-SP4', 1000, 0x00020804 ], [ '(wcscpy) Windows XP SP0/SP1', 612, 0x00020804 ], [ '(stack) Windows XP SP1 English', 656, 680, 0x71ab1d54], \ # jmp esp @ ws2_32.dll ], 這表示攻擊的目標有 Win NT 4.0/Win2K Sp0-Sp4/WinXP Sp0/Sp1 與 Windows XP SP1 English 他會這樣列出，表示這個攻擊程式可能會依照不同的語系， 必須使用不同的參數。 繁體中文的XP 可能因此逃過一劫。 我說得 "逃過一劫" 意思是此攻擊程式應該不會發揮作用，所以惡意程式應該 不會在電腦上執行。只是遭到此攻擊仍可能造成 某些程式當機。 相信我，與其『成功攻擊被安裝惡意程式』， 程式當掉已經是很輕微的傷害了。 作者 Update 以經實驗證實，此攻擊可對Windows XP SP1 繁體中文造成傷害 惡意程式可以透過此方式，成功於該平台上運作 請各位特別留意 Well 這是一個血淋淋的故事，檯面上的戰爭就發生在這個星期內。 檯面下的，天知道醞釀了多久。 Good Night and Good Luck. -- 為甚麼 在 MS公佈了 KB921883之後兩天，MS06-040 Exploit才正式公佈出來？ 這段才是真正有趣的故事，不過我想全台灣沒人知道吧 XD。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.68.32.56 ※ 編輯: kukulcan 來自: 140.129.20.7 (08/15 19:45) ※ exFREEzy:轉錄至看板 ck57th317 08/15 21:51 ※ palermo:轉錄至看板 HPSH-90-31X 08/16 00:01 > -------------------------------------------------------------------------- < 作者: kukulcan (kkc) 看板: AntiVirus 標題: Re: [Log ] svchost.exe的問題.. 時間: Tue Aug 15 01:08:45 2006 ※ 引述《netneto ( )》之銘言： : 請問一下哪裡有關於這個病毒入侵方法的介紹... : 我哥說用防火牆就不會被入侵... 是的，只要用防火牆擋住 Port 135-139 與 Port 445，就可以完全防阻 此攻擊。 : 然後又在網路上看到有人說有用路由器就不會被入侵.... : 不是很懂為什麼... 我想應該是把路由器與防火牆之間的關係弄混了.... : 所以想了解一下這個病毒的入境方式 Well....我想想看該怎麼解釋........... 各位如果有常常"注視"系統內運作的程式的話，應該會發現 系統內會執行若干個 svchost.exe 其中有一個 svchost.exe 會提供所謂的 RPC (Remote Procedure Call) 詳細解釋可於此 http://www.cs.cf.ac.uk/Dave/C/node33.htm 簡單的說，就是你電腦上面執行的 svchost.exe 會提供 某些服務給網路上 的使用者來呼叫使用。這是作業系統設計上的一種美意，在某些情況下， 有些網路服務必須透過此機制來達成。 所以說，每一台 Windows XP 在出廠時，就設定好有一個 svchost.exe 會接受來自 Port 445 的 服務要求，並進行相關的處置。 但是所謂 病從口入，有了這個服務存在後，等於是系統上的一個開口， 如果存在弱點，就很容易變成入侵的端點。 事實上也是如此的，我們從 攻擊程式的說明來看： This module exploits a stack overflow in the NetApi32 NetpIsRemote() function using the NetpwPathCanonicalize RPC call in the Server Service. It is likely that other RPC calls could be used to exploit this service. 這個svchost.exe 在處理來自網路的要求時，會進行一些動作，其中有一個動作 是經由使用 netapi32.dll 當中的 NetpIsRemote來達成的，而NetpIsRemote 又會呼叫 NetpwPathCanonicalize 來進行某些字串的串接處理。 有經驗的人可能知道，字串串接很容易發生問題，只要字串長度過長， 或是長度計算錯誤，很容易就可以造成 stack buffer overflow。 所以，這個攻擊程式是經由傳送一個『精心設計』的資料給 svchost.exe 當 svchost.exe 經過一系列處理程序，來到 NetpwPathCanonicalize時， 該 『精心設計』的資料會發輝作用，觸發svchost.exe進入一個不穩定的狀態。 如果攻擊者可以成功利用該『不穩定狀態』，就可以藉此去執行任何他想要做 的事情；如果攻擊者無法控制該狀態，則程式就會當掉，終止服務。 所以該漏洞可能會造成 『攻擊者遠端控制電腦』，也可能造成『Denied of Service』。我想由於該攻擊程式主要是在歐美語系系統上開發，故攻擊者 主要是利用 英文語系上面的弱點，至於在 中文/繁體中文 系統上的系統控制 就有問題。所以當遭受攻擊時，惡意程式不會執行，反而是 svchost.exe一直 當。 這個跟 MS04-011 有異曲同工之妙阿 ～>_<～。