文/褚占峰

在互联网时代，用户对计算机病毒的重视程度和理解较前几年有了很大的提高，但对病毒是如何进入自己机器的这一过程还不是非常的了解。在本文中，笔者将带领大家用HoneyPot系统来剖析一条蠕虫入侵到系统的全过程。

 

1.  蠕虫病毒简介

 

普通文件型病毒和木马病毒对于没有任何操作的机器是无法对其进行感染的，而蠕虫病毒则不同。它最大的特点是不依赖于宿主程序的运行就可以实现自主传播，对用户是透明的。

蠕虫病毒的特点决定了它只能通过网络来进行传播，传播过程中都是利用目标系统上存在的一些弱点或漏洞。

从对以往爆发的蠕虫数据分析上来看，这些蠕虫主要通过目标系统上操作系统或应用软件的漏洞来进行传播，与此同时，也可能夹杂着弱口令猜解等一些方法。所以，为系统和软件及时打补丁和设置高复杂度口令是防范蠕虫病毒的重要措施。

一般来说，当蠕虫病毒感染一台系统之后，会对被攻击系统产生如下影响：

• 以某种方式实现病毒自身的开机自启动，如添加注册表自启动项，把自己注册成服务等。
• 把自己转移到系统目录下。由于每个系统都有这样一个目录，且系统目录下文件众多，不容易被发现。而且把自身做多份拷贝。
• 开启双进程保护，如果其中有一个进程被杀掉，另一个进程马上创建一个新进程，两个进程互做保护。
• 下载更多的病毒文件并运行。
• 连接特定地址或自身开启特定端口与攻击者的主机进行通信。
• 扫描网络上的其他计算机，继续传播自身；
• 系统反应变慢，程序有异常报错；
• 关闭机器上的杀毒软件、修改防火墙配置；

2    HoneyPot系统简介

 

首先来看这样一个场景：

 某公司的一台核心服务器正遭受一名黑客的攻击，在经过多种入侵方法的尝试之后，黑客得到了这条服务器的最高权限及服务器上的一些文件。在删除了自己的访问痕迹后，他悄悄的从系统中退出。

但是他所不知道的是，他的一举一动都被服务器准确的记录下来，包括他删除的操作记录、入侵方法和使用的工具，当然他获取到的资料也是假的。没错，他所入侵的其实是一台HoneyPot系统。

 

HoneyPot（蜜罐）系统是一个特殊构建的安全系统，观其名猜其义可知，这个系统有引诱攻击者入侵之意。1990年，HoneyPot这个概念正式出现，1997年，计算机病毒之父Fred Cohen发布了Deception Toolkit 0.1，成为第一个正式的成品。HoneyPot系统的目的是为了捕获攻击者的攻击行为，同时可以作为蠕虫的收集器，这个系统一般包括数据捕获、日志记录和数据控制三部分。

 

根据蜜罐系统所提供的交互程度，可以分为三类：

 

a.  低交互蜜罐

是运行于现有系统上的一个仿真服务，在特定的端口监听记录所有进入的数据包，提供少量的交互功能，攻击者只能在仿真服务预设的范围内动作。这种蜜罐结构简单，部署容易，风险很低，但所能收集的信息也是有限的，只能捕获那些已知的攻击。

 

b.  中交互蜜罐

也不提供真实的操作系统，而是应用脚本或小程序来模拟服务行为，通过更多和更复杂的互动，让攻击者会误以为是一个真正的操作系统，从而收集更多数据。

 

c.  高交互蜜罐

由真实的操作系统来构建，提供给黑客的是真实的系统和服务，从而可以捕获黑客运行的全部动作，获得大量的有用信息，包括完全不了解的新的网络攻击方式。

 

H3C在攻防实验室中搭建的是高交互HoneyPot，每一台HoneyPot呈现给攻击者的都是真实的系统，系统可以记录攻击者所做的每一步动作和命令，并把产生的日志实时发送到日志收集系统，以防止攻击者在攻击完成后删除操作日志。进出系统的数据控制部分由另一台系统完成，可以根据需要切断HoneyPot对外的链接，以防止攻击者利用HoneyPot发起下一跳攻击。

 

3    蠕虫病毒的捕获

 

以下介绍HoneyPot系统捕捉蠕虫的真实过程。

 

11月19日这天， HoneyPot系统（192.168.117.20）上报了一条日志：

 

Nov 19 19:16:59 192.168.117.20 Security: 592: NT AUTHORITY\SYSTEM: 已经创建新的过程: 新的过程 ID: 2166158624 映象文件名: \WINDOWS\system32\.exe  创建者过程 ID: 2170176512 用户名: 456-SIG$ 域: WORKGROUP 登录 ID: (0x0,0x3E7)

 

这条日志说明在19点17分左右，HoneyPot系统中新起了一个进程，对应的文件是系统目录下的某个“.exe”文件。这一点十分可疑，HoneyPot系统在没有人为操作的时候，不会新运行文件，况且还是没有文件名只有后缀的文件。

 

查看HoneyPot文件系统的变化，发现如下一些异常：

a.  在system32目录下新增urdvxc.exe文件；

b.  在C盘多个目录下新增许多exe文件，文件名是8位随机字母；

c.  在C盘下的很多htm文件被修改，在所有文件的<html>头下增加了一行新内容：

<OBJECT type="application/x-oleobject"CLASSID="CLSID:CCF26FAE-9818-A19D-ED07-F7589972430D"></OBJECT>

 

查看系统服务的变化情况，发现新增了一个系统服务：Network Windows Service，如图1所示：

 

http://www.h3c.com.cn/res/201006/21/20100621_998853_image001_679120_30008_0.jpg
图1：新增服务的信息

 

可以看出，这个新增服务加载的程序就是系统目录下的urdvxc.exe。通过这种方式实现urdvxc.exe的开机自启动。

 

将urdvxc.exe文件放到检测引擎中进行检测，检测的结果是Net-Worm.Win32.Allaple.e蠕虫。

 

到目前为止可以判断入侵的病毒为Net-Worm.Win32.Allaple.e蠕虫，同时HoneyPot系统得到了蠕虫样本urdvxc.exe。

 

4    蠕虫病毒的分析

 

调出日志产生时的网络流量记录，发现HoneyPot系统开启了9988端口，并从72.84.255.110处接收了一个可执行文件。提取出这个文件，和HoneyPot系统中新增的urdvxc.exe文件进行比较，两者相同。

 

查找这个IP之前和HoneyPot的交互，发现了这样一条流，如图2所示：

 

 

http://www.h3c.com.cn/res/201006/21/20100621_998854_image002_679120_30008_0.jpg
图2：蠕虫入侵报文

 

在这个报文中，NetpwPathCanonicalize()这个函数引起了我们的怀疑，这个函数的PathName参数中携带的网络路径名非常特殊，是以一串0x90开始的数据串，不是正常的字符。而且其长度也远远超过了正常路径名的范围。

 

根据之前的经验判断这是利用微软的MS06-040漏洞攻入HoneyPot系统的。微软NetpwPathCanonicalize()这个函数中的PathName参数出了两个漏洞，一个是MS06-040，时间稍早，利用较为简单；另一个是MS08-067漏洞，利用起来要稍微复杂一点，路径名的格式有一些特殊要求，所以我们断定这是MS06-040漏洞。

 

MS06-040漏洞是一个RPC远程调用漏洞，利用的是NetpwPathCanonicalize()函数，这个函数用于对网络路径字符串格式进行标准化，当这个函数的PathName参数中携带的网络路径名长度超过了一定长度时，就会造成堆栈缓冲区溢出，使得系统发生异常。

在这个PathName参数中携带着执行攻击者预定动作的shellcode，提取出这段shellcode，通过分析我们看到攻击者通过这段shellcode执行了下列一些动作：

 

a.  首先在本地创建“.exe”这样一个文件；

b.  开启本地的9988端口进行监听；

c.  接受数据并写入到.exe文件；

d.  运行.exe文件；

 

到此为止，这条蠕虫的真实面目完全呈现在我们面前了：它首先利用微软的MS06-040漏洞入侵到HoneyPot，然后下载并运行.exe文件，占领这台机器之后，在继续上面行为循环在网络上继续传播自己。

 

5    蠕虫病毒的防御

 

蠕虫病毒是一种不请自来的病毒，用户在平时使用计算机时仅凭多加注意是不够的，最有效也是最根本的防范方法就是对系统及时打好补丁，设置高复杂度口令，去掉不必要的共享，杜绝蠕虫传播的通道。

 

结束语：

 

随着互联网的发展，人们的生活与互联网结合的越来越紧密，人们对互联网的依赖程度越来越高，但互联网的危险远超人们的想象，人们对互联网中所隐藏的危险认知程度还远远不够，现在依然能见到在互联网上裸奔的计算机。

 

只有对互联网中隐藏的危险更加的了解，才能更好的享受互联网所带来的便捷与高效，才能使互联网更好的为我们的工作和生活服务。