Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:analiza_storm_worm_napada [2021/01/16 17:58]
mdadanovic [Kontaktiranje drugih računala i slanje mailova]
+++ racfor_wiki:analiza_storm_worm_napada [2024/12/05 12:24] (trenutno)
@@ Redak 36: / Redak 36: @@
 Još jedan od razloga zašto je bilo teško zaustaviti širenje Storma Worma je njegova mogućnost nadogradnje izvornog programskog koda tj. zaražena računala bi između sebe dijelila najnovije verzije Storm Worma. Ovakva mogućnost nadogradnje drastično je otežavala bilo kakve pokušaje zaustavljanja zlonamjernog softvera jer kada bi se pronašla neka slaba točka koja bi se potencijalno mogla iskoristiti za usporavanje ili zaustavljanje širenja, navedenu slabu točku bi autori mogli ispraviti te poslati poboljšanje svim zaraženim računalima. Mogućnost poboljšanja je očito vidljiva jer kasnije verzije Storm Worma su imale mogućnost detektirati da li se nalaze unutar virtualne mašine, jednom kada bi detektirao da uistinu nalazi u virtualnoj mašini jednostavno bi ušao u beskonačnu petlju te ne bi izveo svoj izvorni kod, ranije verzije ovakvu funkcionalnost nisu imale.
 Uz preuzimanje novih funkcionalnosti, Storm Worm bi preuzimao nove predloške mail-ova tj. naslovi koje bi Storm Worm generirao u svojim e-mailovima su se uvijek mijenjali zbog navedene mogućnosti konstantnog unaprijeđena softvera. Stoga zaražene mailove, nije bilo moguće prepoznati po nekom konstantnom naslovu. Također, naslovi bi uvijek pratiti aktualne događaje npr. Za vrijeme svjetskog nogometnog prvenstva slao bi naslove poput „program za praćenje nogometnog prvenstva“ [9], dok bi za novu godinu slao „sretna 2008. godina“ [10].
 Uz sve navedene, Storm Worm je također imao i aktivne metode obrane, tj. u slučaju da je detektirao da ga se pokušava zaustaviti lansirao bi protu napad. Kao što je već spomenuto, Storm Worm je mogao detektirati ako se nalazi u virtualnoj mašini, također je promatrao procese koji se pokreću na korisničkom računalu. Neke verzije Storm Worm bi jednostavno ugasile procese koje bi smatrali potencijalno opasne npr. razne programe za ispravljanje pogrešaka (eng. debugger), antivirusne programe ili bilo kakve programe za dijagnostiku. Kasnije verzije Storm Worm ne bi ugasile proces nego bi prevarile operacijski sustav da umjesto procesa koji je korisnik pokrenuo, bi se zapravo pokrenuo neki drugi proces koji ne bi radio ništa, ali korisnik bi se zavarao i mislio da se uspješno pokrenuo njegov proces [11].
 Uz upravo opisane lokalne načine obrane poput zaustavljanje pokretanja određenih procesa, Storm Worm je imao mogućnost automatiziranog DDoS napada u slučaju kada bi detektirao da ga netko pokušava razotkriti ili proučiti njegov izvorni kod [12]. Neke od kompanija protiv kojih je Storm Worm aktivirao DDoS protu napad su „SecureWorks“,  „Artists Against 419“, „Spamhaus Project“ i brojni drugi.
@@ Redak 55: / Redak 58: @@
-{{ https://i.ibb.co/W2xpgRY/storm-Worm-Logika.png?nolink&481 |Logika izvornog koda Storm Worma }}
+{{ https://i.ibb.co/W2xpgRY/storm-Worm-Logika.png?nolink&500 |Logika izvornog koda Storm Worma }}
+Kod započinje sa inicijalizacijom strukture zvane deskriptor sigurnosti (engl. Security descriptor). Deskriptor sigurnosti je objekt koji se koristi u Windows operacijskom sustavu kako bi se specificiralo koji procesi mogu pristupiti nekoj datoteci. Storm Worm inicijalizira privatni deskriptor sigurnosti sa kojim će stvoriti „spooldr.ini“ datoteku u sljedećem koraku. Spomenuti privatni deskriptor sigurnosti onemogućava bilo kojem drugom procesu ili korisniku da pogleda šta se nalazi unutar „spooldr.ini“. Inicijalno datoteka „spooldr.ini“ se stvara sa 290 tvrdo kodiran (engl. hardcoded) vršnjaka (engl. peer) koji će biti kasnije kontaktirani. Navedeni vršnjaci su napisani u formatu <hash>=<ip><port> , ali u heksaedarskom obliku. Npr :
+  * 008052D5853A3B3D2A9B84190975BAFD=53855152054A00
+  * 004982069E5DB75721B54CFF33A26170=5955FC93123900
+  * 0042856B2ACE498B28D976190EA4F30C=443520D2410B00
+Prije nego što se mogu kontaktirati potrebno je inicijalizirati utičnice (engl. socket). Upravo zbog toga Storm Worm poziva funkciju WSAStartup. WSAStartup je funkcija u Windows operacijskom sustavu koja se morati pozvati kako bi se inicijalizirale utičnice koje će Storm Worm kasnije koristit za komunikaciju. Uz inicijalizaciju sa potrebnim podacima WSAStartup funkcija također služi za pregovaranje oko verzije utičnica koje će se koristiti te informira koje su uopće verzije utičnica dostupne. Jednom kada je sva potrebna konfiguracija gotova program prelazi u fazu „eDonkey Handler“ eDonkey je peer-to-peer mreža koju Storm Worm koristi za koordinaciju sa ostalim zaraženim računalima, ali i preuzimanje potrebnih datoteka poput novih verzija Storm Worm, novih predložaka za mailove ili bilo kakvih drugih datoteka. Storm Worm će pokušati kontaktirati inicijalnu listu vršnjaka iz „spooldr.ini“, te će ponašanje Storm Worma ovisi o tome može li uspostaviti kontakt sa nekim od vršnjaka tj. postoje dvije mogućnosti :
+  * Nitko od vršnjaka ne odgovori
+  * Određeni podskup vršnjaka uzvrati odgovor
+U slučaju da nitko od vršnjaka ne odgovori, Storm Worm će pričekati 10 minuta i pokušati ponovno i tako sve dok se netko od vršnjaka ne javi. U slučaju da određeni podskup vršnjaka uzvrati odgovor, Storm Worm će zatražiti njihove liste vršnjaka kako bi proširio svoju listu. Jednom kada ažurira datoteku „spooldr.ini“ sa novim vršnjacima koje su mu poslali njegovi susjedi će započeti preuzimanje novih verzija predložaka mailova i novih verzija Storm Worma ako oni postoje. Postoje dvije mogućnosti :
+  * Nova verzija Storm Worma postoji
+  * Nova verzija Storm Worma ne postoji
+U slučaju da nova verzija postoji, program odlazi u „L_403459“ odsječak koji je vidljiv na prijašnjoj slici. Trenutna verzija Storm Worma se gasi, a nova verzija koja je upravo preuzeta se ponovno pokreće te iz „L_403459“ se prelazi u „initialize and set security descriptor“. U slučaju da nova verzija Storm Worma ne postoji prelazi se u „SMTP (SPAM) Logic“. U ovom odsječku Storm Worm pretražuje datoteke na zaraženom računalo sa sljedećim ekstenzijama „.txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp, .dat, and .lst.“. Cilj pretraživanja je pronalazak email adresa na koje će se poslati kopija Storm Worm virusa kako bi se virus nastavio širiti. Storm Worm iz trenutne faze tj. faze „SMTP (SPAM) Logic“ može preći u „L_403459“ iz koje se ponovno može reinicijalizirati te se vratiti na početak izvršavanja ili se ugasiti.
 ===== Postupni pad Storm Worma =====
+Zbog svoje proširenosti Storm Worm je prikupio veliku količinu pozornosti te su zbog toga mnoge grupe radile na raznim rješenjima kako zaustaviti Storm Worm. Microsoft je 25. rujna 2007 objavio novu verziju alata za uklanjanje zlonamjernog softvera koja dolazi sa Windowsima te je ta nova verzija uspjela smanjiti veličinu zaražene mreže za 20% posto [15].
-===== Zaključak =====
+Kako bi spriječile zarazu većina kompanija je ograničila ili skroz blokirala peer-to-peer komunikaciju unutar svoje lokalne mreže. Zbog ove prevencije čak i kada bi se neko računalno unutar mreže zarazilo ne bi moglo komunicirati sa ostalima. U slučaju da kompanije ne mogu blokirati peer-to-peer komunikaciju zbog određenog razloga sljedeća najbolja metoda za prevenciju je promatranje količine internetskog prometa. Budući da Storm Worm generira velike količine izlaznog prometa tvrtke mogu iskoristiti ovu činjenicu te u slučaju da tvrtka detektira iznenadni skok izlaznog prometa može poduzeti neke preventivne akcije. Jedan od softvera koji je razvijen posebno za detektiranje spambotova poput Storm Worma je BotHunter [16].
+Storm Worm se nikada ne bi toliko proširio kada bi se riješila najveća mana u sustava, a to su ljudi. Jedini razlog zašto se Storm Worm proširio je zbog brzopletosti ljudi koji su preuzimali nepoznate datoteke na vlastita računala te ih pokretali. Stoga najbolji način prevencije Storm Worma i svih ostalih budućih sličnih napada je ulaganje u obrazovanje šire populacije o pažljivom korištenju i potencijalnim opasnostima Interneta.
+===== Zaključak =====
+Storm Worm je zanimljiv dio povijesti jer je jedan od prvih koji je koristio nekoliko inovativnih ideja poput aktivne obrane sa funkcijama detekcije alata za dijagnozu te lansiranja protu napada , peer-to-peer komunikacije i koordinaciju, aktivno poboljšavanje vlastitog izvornog koda. Zlonamjerni softveri poslije njega su posudili upravo spomenute inovacije te ih implementirali u svoju logiku. Međutim, Storm Worm je imao i neke pozitivne utjecaje. Zbog količine vijesti koje je generirao mnogi ljudi su čuli za njega te će se sigurno biti oprezniji u slučaju da se situacija ponovno ponovi. Neosporna je činjenica da je u većini sustava čovjek uzrok većine propust zbog svog neznanja, nepažnje i brzopletosti. Stoga najbolja povijesna lekcija koju Storm Worm može dati je da se ulaganje u obrazovanje ljudi o internetskoj sigurnosti čini kao nepotreban financijski trošak, ali u slučaju napada će se višestruko isplatiti. U suprotnom šteta prouzročena bi mogla biti drastično veća poput isključivanja interneta cijelih tvrtka i država kao što to Storm Worm bio sposoban napraviti.
 ===== Literatura =====
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.]]
+[1] [[https://en.wikipedia.org/wiki/W32/Storm.worm|W32/Storm.worm, 2020 ]]
+[2] [[http://news.bbc.co.uk/2/hi/technology/6278079.stm|BBC news: Storm chaos prompts virus surge, 2007 ]]
+[3] [[https://www.informationweek.com/storm-spam-surges-infections-climb/d/d-id/1050968?|Gregg Keizer, InformationWeek:  'Storm' Spam Surges, Infections Climb, 2007]]
+[4] [[https://www.informationweek.com/storm-worm-botnet-more-powerful-than-top-supercomputers/d/d-id/1058883?|Sharon Gaudin, InformationWeek: Storm Worm Botnet More Powerful Than Top Supercomputers, 2007 ]]
+[5] [[https://en.wikipedia.org/wiki/Storm_botnet|Wikipedia: Storm botnet, 2020 ]]
+[6] [[https://www.pcworld.com/article/138694/article.html|Erik Larking, PCWorld: The Internet's Public Enemy Number One, 2007 ]]
+[7] [[https://en.wikipedia.org/wiki/Botnet#Client-server_model|Wikipedia: Botnet - Client-server model, 2021 ]]
+[8] [[https://web.archive.org/web/20071016163749/http://tech.blorge.com/Structure%3A%20/2007/10/15/researcher-storm-worm-botnet-up-for-sale/|Ruben Francia, BLORGE.com - Storm Worm botnet up for sale, 2007   ]]
+[9] [[https://www.informationweek.com/nfl-kickoff-weekend-brings-another-storm-worm-attack/d/d-id/1058992?|Sharon Gaudin, InformationWeek: NFL Kickoff Weekend Brings Another Storm Worm Attack, 2007 ]]
+[10] [[https://www.pcworld.com/article/140827/article.html|Gregg Keizer, PCWorld: Storm Botnet Drops Strippers Lure, Switches to New Year's, 2007 ]]
+[11] [[https://nakedsecurity.sophos.com/2007/10/22/process-patching-the-dorf-way/|Nakedsecurity: Process-patching, the Dorf way, 2007 ]]
+[12] [[https://www.darkreading.com/researchers-fear-reprisals-from-storm/d/d-id/1129091|Tim Wilson, Darkreading: Researchers Fear Reprisals From Storm, 2007 ]]
+[13] [[http://www.cyber-ta.org/pubs/StormWorm/report/|Phil Porras, Hassen Saïdi, Vinod Yegneswaran Cyber-TA: A Multi-perspective Analysis of the Storm (Peacomm) Worm, 2007  ]]
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]
+[14] [[https://docs.microsoft.com/en-us/windows/win32/secauthz/dacls-and-aces|Microsoft: DACLs and ACEs, 2018]]
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]
+[15] [[https://www.theregister.com/2007/09/25/microsoft_malicious_software_removal_tool/|Sunnet-Beskerming, The Register: Guessing at compromised host numbers, 2007 ]]
+[14] [[http://www.bothunter.net/|Bothunter, 2007 ]]

racfor_wiki/analiza_storm_worm_napada.1610819936.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)