分析攻击流量样本

此次分析样本是.pcap格式,共348帧。主要利用的分析工具是wireshark以及它的命令行版本tshark。

前期分析

首先通过观察,发现只涉及到两个ip,在本文中称98.114.205.102为主机A,192.150.11.111为主机B。
如下图,A主动向B请求TCP连接,并完成了三次握手。
三次握手
虽然不能断定,但很有可能A为攻击者,B为受害者,A攻击的是B的主机系统。

理论上说这种类型的攻击一定利用了已知系统漏洞或者0day,所以接下来的目标是找到A究竟利用了什么漏洞对B实施了攻击。

于是观察有没有能够暴露更多信息的数据帧。如下图,可以看到在第33帧有一个函数被调用。这非常可疑。网上搜一下这个API,很快发现它曾经曝出过问题,编号CVE-2003-0533,winodws上大名鼎鼎的“冲击波”利用的就是这个漏洞,微软给的编号是MS04-011。
函数调用

该漏洞是一个远程缓冲区溢出,DCE/RPC请求可以从远程主机发送到本地机的LSASS.EXE进程(Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL))。LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出,远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。攻击LSASS的漏洞的基本办法,就是构造长参数DomainName,通过DsRoleUpgradeDownlevelServer()这个API,最终造成溢出和返回shell。

流程分析

已知B被利用的是哪个漏洞,再分析整个流程就简单了。

整个攻击过程中包含5个TCP会话,按会话顺序描述流量样本的攻击流程。
(1)首先,A扫描B 445/tcp端口,确认该端口是否开放。(tcp.stream eq 0)
这里写图片描述

(2)建立SMB会话,连接到B的\192.150.11.111\ipc$,并请求/lsarpc。(tcp.stream eq 1)
分析攻击流量样本_第1张图片

如图,在帧33的位置,通过构造恶意参数,调用存在漏洞的函数DsRoleUpgradeDownlevelServer(),
造成缓冲区溢出,并将shell绑定到1957端口。
这里写图片描述

A连接到B 1957端口上的shell,即可在B上执行指令。(tcp.stream eq 2)
这里写图片描述

查看追踪流,可知为了在B上植入恶意软件(蠕虫),A向B发送了如下命令,强制B连接ftp并下载ssms.exe。
分析攻击流量样本_第2张图片

B执行(3)中命令,尝试建立FTP连接,请求下载ssms.exe。(tcp.stream eq 3)
这里写图片描述
如下图:
分析攻击流量样本_第3张图片

B通过ftp接收文件ssms.exe(恶意样本)。
这里写图片描述

追踪流,可见开头MZ、PE字符,显然,正在传输的是windows可执行程序。(tcp.stream eq 4)
分析攻击流量样本_第4张图片

接下来A再次连接到shell,强制B执行恶意文件ssms.exe即可。

疑点分析和结论

(1)攻击实施时间非常短,全过程仅花费16秒;另外,在这五次TCP会话中,出现了会话间间隔小于1秒的情况。人工输入命令的速度不可能这么快,所以说这次攻击肯定是自动化的。
另外,恶意文件ssms.exe被mcfee引擎识别为W32/Sdbot.worm.gen.x,是蠕虫。

(2)攻击者A在发送如下指令时出现了错误:

echo open 0.0.0.0 8884 > o

使用了无效的ip,0.0.0.0,该处ip值本应为98.114.205.102。这一错误一方面再次证明此次攻击不是人工实施,人工不会出现这样的错误;另一方面,为何在出错的情况下B仍然执行命令下载了恶意文件ssms.exe?这说明受害者B也是有问题的。

(3)windows xp系统的ttl值应当为128,而这个受害主机B的ttl值为64。进一步证明B实际上是一个蜜罐,伪装成了存在漏洞的windows系统,吸引网络上被感染的发起自动扫描的僵尸机上钩。

综上所述,攻击者A很可能是被蠕虫感染的主机,遭到感染后,利用端口扫描找到受害者B(蜜罐),并向其发起针对MS04-011漏洞的后续攻击行为。整个攻击过程都是自动发起和实施的。

来源和参考:http://www.honeynet.org/node/504

你可能感兴趣的:(安全)