کابوس کرم های شبکه : قسمت دوم

پس‌زمينه

واژه «كرم» در 1979 و توسط John Shoch Hupp در XeJohn Shoch Hupprox PARC ابداع شد و از غولي شبكه‌اي به نام tapeworm كه در نوول John Brunner به نام The Shockwave Rider آمده بود الهام گرفته بود. آنها از وجود يك برنامه خودتكثير اوليه يعني Creeper كه توسط باب توماس در BBN نوشته شده بود و خود را بين گره‌هاي شبكه ARPANET منشر مي‌كرد آگاهي داشتند. آنها كرمي را براي نقل و انتقال LAN اترنت داخلي خود كه بعد از ساعت‌هاي كاري عادي شبكه به دنبال پردازنده‌هاي Idle مي‌گشت، با هدف سيستم‌هاي كامپيوتري توزيع شده ابداع كردند. به دليل اينكه كرم‌ها با اهداف صلح‌جويانه در بين كاربران ابداع شده بودند، فاقد هر نوع payload مشكوكي بودند. كرم‌هاي آنان عمر كوتاهي داشتند و در مقابل يك بسته ويژه «kill» عكس‌العمل نشان مي‌دادند. عليرغم اين اقدامات امنيتي، يكي از اين برنامه‌هاي كرم به شكلي اتفاقي از كنترل خارج شد و در طول شب چندين كامپيوتر را از كار انداخت.

معروف‌ترين حادثه مرتبط با كرم‌ها، كرم Morris بود كه در نوامبر 1988 در عرض چند ساعت چنديدن كامپيوتر را غير فعال كرد. Robert Morris, Jr Robert Morris, Jrدر آن زمان دانشجوي دانشگاه كورنل بود. خسارت ايجاد شده توسط اين كرم، كامپيوترهايي را كه قبلاً آلوده شده بودند مجدداً آلوده كرد و اين موضوع تا وقتي كه اين كامپيوترها از كار افتادند ادامه پيدا كرد. اين احتمالاً اولين كرمي بود كه از مجموعه‌اي از روش‌ها براي انتشار سريع خود استفاده مي‌كرد. اولاً، اين كرم سعي مي‌كرد فايل‌هاي كلمه عبور سيستم‌هاي لينوكس را بشكند. فايل  كلمه عبور رمزگذاري مي‌شد اما براي عموم افراد قابل خواندن بود. اين كرم مي‌توانست حدس‌هاي لازم براي كلمه عبور را رمزگذاري كند و آنها را با محتواي فايل كلمه عبور مقايسه كند. دوماً، اين كرم از گزينه debug موجود در برنامه sendmail يونيكس سوء استفاده مي‌كرد. سوماً، اين كرم يك حمله سرريز بافر را با استفاده از يك آسيب‌پذيري در برنامه finger daemon يونيكس حمل مي‌كرد.

توسعه كرم‌ها تا سال  1999، يعني دوراني كه اي-ميل به يك بخش مناسب براي آلودگي تبديل شده بود با سرعت نسبتاً كمي صورت مي‌گرفت. در ماه مارس 1999، كرم Lion (شير) با استفاده از برنامه كاربردي pscan كه يك درگاه اسكنر شبكه‌اي رايگان كه به زبان Perl نوشته شده بود در بين كامپيوترهاي لينوكس شيوع پيدا كرد. اين كرم از اين درگاه براي اسكن ميزبان‌هاي كلاس B كه به درگاه TCP 53 گوش مي‌دادندو داراي آسيب‌پذيري BIND buffer بودند استفاده مي‌كرد. اين كرم سپس با استفاده از سوء استفاده‌اي به نام name، اين ميزبان‌ها را مورد تهاجم قرار مي‌داد. بعد از اينكه يك سيستم مورد تهاجم قرار مي‌گرفت، كرم، فايل‌هاي كلمه عبور و ساير اطلاعات حساس (آدرس‌هاي IP و حساب‌ها) را سرقت مي‌كرد و آنها را از طريق اي-ميل ارسال مي‌نمود. در عين حال اين كرم چندين چيز را نصب مي‌كرد: tOrn rootkit براي جلوگيري از كشف، DDoS agent TFN2K، يك نسخه تروايي شده از SSH براي گوش كردن به درگاه 33568، و يك ROOT SHELLS در پشتي برروي درگاه‌هاي 60008، TCP و 33567. در ماه مي 2001، كرم Sadmind براي اولين بار از يك آسيب‌پذيري سرريز بافر در سيستم‌هاي Sun Solaris استفاده كرد. اين سيتم‌هاي دستكاري شده سپس براي اجراي يك حمله به IIS مايكروسافت مورد استفاده قرار مي‌گرفتند.

در ماه جولاي 2001، كرم Code Red خرابي‌هاي زيادي را با استفاده از يك آسيب‌پذيري سرريز بافر كه يك ماه قبل در سرور وب IIS مايكروسافت كشف شده بود ايجاد كرد. علي‌الخصوص، آسيب‌پذيري Index Server ISAPI به يك مهاجم راه دور اجازه مي‌داد كنترل كامل سيستم را به دست گيرد. اولين نسخه از كرم Code Red در دوازدهم جولاي 2001 ظاهر شد. در سيستم‌هاي آلوده، به منظور انتشار سريعتر، اين كرم سعي مي‌كرد آدرس‌هاي IP pseudorandom را ايجاد كند اما از يك seed استاتيك كه منجر به ايجاد ليست‌هاي آدرس‌هاي IP مشابه مي‌شد استفاده مي‌كرد.اگرچه بيش از 20000 ميزبان در عرض 6 روز آلوده شدند، سرعت انتشار اين كرم به واسطه اين حقيقت كه هدف‌هاي مشابه به طور مكرر مورد حمله قرار گرفته بودند كند شد. نسخه دوم كرم Code Red در نوزدهم جولاي ظاهر شد. اين نسخه، بسيار سريعتر از نسخه اول منتشر شد زيرا seed استاتيك به يك random seed تبديل شده بود كه مهاجم را مطمئن مي‌كرد كه هر كپي از كرم،  آدرس‌هاي IP متفاوتي ايجاد مي‌كند. بيش از 359000 كامپيوتر در مدت 14 ساعت به طور مكرر توسط نسخه دوم Code Red آلوده شدند. اين كرم به گونه‌اي طراحي شده بود كه به طور خودكار در بيستم جولاي متوقف مي‌شد. در چهارم آگوست، يك كرم جديد كه خود را Code Red II ناميده بود از همان سرريز بافر، اما با يك payload متفاوت استفاده مي‌كرد. اين كرم، آدرس‌هاي IP متفاوتي ايجاد مي‌كرد اما آنها كاملاً اتفاقي نبودند، از هر 8 آدرس، حدوداً يكي از آنها كاملاً اتفاقي و 4 آدرس در داخل همان دامنه كلاس Aي آدرس ميزبان آلوده و 3 آدرس از 8 آدرس در داخل همان دامنه كلاس Bي آدرس ميزبان آلوده قرار داشتند. در سيستم‌هاي آلوده شده، براي انتشار سريعتر، 300 thread موازي ايجاد مي‌شد. تعداد معتنابهي threadهاي موازي، باعث ايجاد سرريز اسكن مي‌شد كه اين موضوع نيز به نوبه خود، گرفتگي بسيار زيادي برروي شبكه ايجاد مي‌كرد.

در سپتامبر 2001، كرم Nimda از تركيبي از 5 روش براي انتشار سريع استفاده كرد و از آدرس‌هاي اي-ميل Web cash و صندوق پستي پيش‌فرض MAPI با موضوع اتفاقي و يك ضميمه به نام readme.exe استفاده مي‌كرد و يك سال بعد سرورهاي وب IIS مايكروسافت را از طريق يك آسيب‌پذيري سرريز بافر مورد تهاجم قرار مي‌داد و خودش را در سرتاسر network shareهاي باز تكثير مي‌كرد و جاوا اسكريپت را به صفحات وب اضافه مي‌كرد تا مرورگرهاي وب را آلوده كند و به دنبال درهاي پشتي كه قبلاً توسط Code Red II و كرم Sindbad به جاي گذاشته شده بود مي‌گشت. اين كرم قادر بود 450000 ميزبان را در عرض 12 ساعت آلوده كند. اگرچه هيچ يك از اين روش‌ها جديد نبود، تلفيق تعداد زيادي روش در يك كرم، به شكل غيرعادي پيچيده بود.

در نوامبر 2002، كرم Winevar، نمونه‌اي از به نمايش گذاشتن قابليت محافظت از خود با غير فعال كردن نرم‌افزار ضد ويروس بود. اين كرم از ليستي از كليد واژه‌ها براي اسكن حافظه به منظور متوقف كردن فرآيندهاي شناخته شده ضد ويروسي و اسكن ديسك سخت براي حذف فايل‌هاي اختصاص يافته به اين كار استفاده مي‌كرد.

در ژانويه 2003، كرم SQL Slammer يا Sapphire، در سرورهاي Microsoft SQL منشر شد. اين كرم به شكلي جالب توجه از يك PAYLOAD 376 بايتي در داخل يك بسته UDP 404 بايتي استفاده مي‌كرد. اين كار براي انتشار سريع آن بسيار اثربخش بود زيرا ميزبان‌هاي آلوده شده مي‌توانستند اين بسته‌هاي كوتاه UDP را به سرعت ايجاد كنند. بر خلاف UDP ، TCP فاقد اتصال است و براي اين كه منتظر برقراري ارتباط باشد نيازي به ميزبان ندارد. ميزبان‌هاي آلوده شده براي ارسال بسته‌هاي UDP به آدرس‌هاي IP اتفاقي ، در داخل يك لوپ ساده قرار مي‌گرفتند. بسته‌ها، حمله‌اي را براي سوء استفاده از آسيب‌پذيري سرريز بافر در Microsoft SQL server كه شش ماه پيش كشف شده بود حمل مي‌كردند.

هفته يازدهم آگوست 2003، به عنوان يكي از بدترين هفته‌ها در تاريخ كرم‌ها نام گرفته است. اولاً، كرم Blaster يا Lovsan از آسيب‌پذيري DCOM RPC در ويندوز 2000 و ويندوز XP بهره‌برداري نمود. در سيستم‌هاي آسيب‌پذير، اين كرم يك فرآيند remote shell را كه يك فايل msblast.exe را از يك ميزبان آلوده منتقل مي‌كرد باز مي‌نمود. هفت روز بعد، كرم Welchi يا Nachi از همان آسيب‌پذيري و يك آسيب‌پذيري WebDAV ديگر در سرورهاي Microsoft IIS 5.0 استفاده كرد. Welchi سعي مي‌كرد بلستر را از سيستم‌هاي آلوده حذف كند و وصله مايكروسافت را به آسيب‌پذيري  RPC اعمال كند. اين كرم به گونه‌اي طراحي شده بود كه به طور اتوماتيك در وال ژانويه 2004 متوقف مي‌شد. يك روز پس از Welchi، كرم Sobig.F، كه پنجمين وارياسون  Sobig.F اصلي بود ظاهر شد. اين كرم در ژانويه 2003 كشف شده بود و به طور گسترده با ارسال نامه‌هاي الكترونيكي شيوع پيدا كرده بود. اين كرم، بخش from را در پيام نامه الكترونيكي spoof مي‌كرد و يك آدرس را كه به طور اتفاقي از كامپيوتر قرباني انتخاب شده بود در آن قرار مي‌داد. اين كرم از قابليت دانلود فايل‌هاي arbitrary به يك كامپيوتر آلوده برخوردار بود و از آن براي ست‌آپ اسپم و رله آنها و سرقت اطلاعات سيستم بهره‌برداري مي‌نمود. اين كرم در زمان برنامه‌نويسي، تعداد زيادي سرور را براي دانلود دستورات شامل مي‌شد. حول و حوش همان روزها، كرم  Dumaru خود را به جاي يك وصله patch.exe مايكروسافت در ضميمه نامه‌هاي الكترونيكي جا زد. اگر اين نامه باز مي‌شد، كرم خودش را به داخل دايركتوري سيستم كپي مي‌كرد و يك اسب تروا را براي گوش دادن به فرمان‌هاي نويسنده كرم بر روي يك كانال IRC نصب مي‌كرد.سال 2004 از نظر برخورد و تقابل بين خالقان Netsky ، MyDoom و Bagle در گنجاندن پيام‌ها در داخل كرم‌ها سال قابل توجهي است. كرم MyDoom.A در ژانويه ظاهر شد و خودش را به آدرس‌هايي كه قبلاً توسط ساير كرم‌ها بر روي ميزبان آلوده كشف شده بود اي-ميل مي‌كرد و ضميمه‌ها و موضوع‌هاي مختلفي را شامل مي‌شد. Payload اين كرم دربردارنده يك DDoS agent و يك در پشتي براي دانلود فايل‌هاي arbitrary بود. بلافاصله پس از آن، كرم Bagle به همان شكل و از طريق اي-ميل منتشر شد و يك اسب تروا كه يك در پشتي رابه منظور فراهم نمودن كنترل از راه دور باز مي‌كرد نصب مي‌كرد. خانواده كرم‌هاي Netsky نيز كه نامه‌هاي الكترونيكي را به شكل گسترده ارسال مي‌كردند با فاصله كمي پس از آن منتشر شدند و كامنت‌هايي را كه مستقيماً توسط نويسندگان كدها نوشته شده بود در كد خود قرار مي‌دادند و برخي از وارياسون‌هاي آن‌ها شامل كدي براي حذف اين كرم‌ها از ميزبان‌هاي آلوده بود.

اگر چه كرم‌ها از سال 2004 به اين طرف نيز به توسعه و تكامل خود ادامه داده‌اند، اما حملاتي با مقياس Slammer و Code Red ديده نشده است. به نظر مي‌رسد خالقان كرم‌ها، وقت خود را صرف كشف آسيب‌پذيري‌هاي جديد و هدف‌هاي نويني مثل پيام رساني كوتاه، IRC و به اشتراك گذاري همتا به همتا و SMS/MMS مي‌كنند.مي‌توان گفت كه كرم‌ها در مقايسه با ساير انواع كدهاي مشكوك، هنوز هم تهديد بزرگي محسوب مي‌شوند. از سال 2005 به اين طرف، توجهات به تدريج از كرم‌ها دور و به سمت ساير انواع بدافزارها نظير botها، spyware و rootkitها هدايت شده است.

منبع : بزرگراه رایانه

Advertisements

دربارهٔ Yaser Hosseini

یاسر هستم طراح وب علاقه مند به طراحی تجربه کاربری و مدیریت فرآیندهای کسب‌وکار، عاشق کوهنوردی و دوچرخه سواری ولی حرفه ای نیستم. یادمیگیرم و به اشتراک میذارم

Posted on دسامبر 14, 2008, in وب, امنیت, شبکه and tagged , , , , . Bookmark the permalink. بیان دیدگاه.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: