每周小编陈邓新都会监控网络安全,挖掘最新安全威胁,报道当前最危险的漏洞、最新的挂马网站分析。精彩内容,不容错过。欢迎大家踊跃爆料,来信请发到pcw-chendx@vip.sina.com。
本期主角 Windows Server 2008
问题所在 存在蓝屏漏洞
主要危害 服务器出现蓝屏停止服务
调研时间 2009.9.1~2009.9.23
一场风暴即将来了!9月初,在各大安全网站上登载了一个Windows操作系统的蓝屏漏洞的消息,这个漏洞的出现如同一颗石子,打破了近半年来Windows没有爆出重大漏洞的沉寂。
蓝屏漏洞威胁的是服务器操作系统Windows Server 2008,这意味着如果Windows Server 2008蓝屏,将导致服务器停止服务……目前,漏洞的利用代码还限制在小范围内,不过漏洞攻击工具却已经研制出来了,电脑报第一时间得到了该工具,独家为大家揭秘蓝屏漏洞的利用过程。
危机:服务器的蓝屏隐痛
我是安天实验室的苗得雨,我下面给大家说的就是蓝屏漏洞。蓝屏漏洞的正式名称是SMB v2漏洞,到截稿为止该漏洞还没有补丁(预计10月第二个星期出补丁)。蓝屏漏洞的危害到底有多大?对我们普通网民会带来危害吗?蓝屏漏洞主要威胁的是使用Windows Server 2008的服务器,对Vista系统也有一定的影响。WWw.itCOMputer.CoM.Cn不过现在的黑客都变得务实起来,不会对市场份额尴尬的Vista系统感兴趣。
使用Windows Server 2008作为服务器操作系统的,是邮件服务器、网站服务器、数据服务器、域名服务器等。一旦服务器蓝屏了,管理员很可能不会第一时间知道——因为很多服务器都没有配专用的显示器,服务器就会在一段时间内停止服务。
如果是网站服务器停止服务了,服务器上的所有网站都无法访问;如果是邮件服务器停止服务了,邮件就不能中转发送;如果是数据服务器停止服务了,可能会导致数据支持的系统崩溃,例如网游、网银等系统;如果是域名服务器停止服务了,“断网门”可能再次上演。
安全小百科
SMB(Server Message Block,又称Common Internet File System)是由微软开发的一种软件程序级的网络传输协议,主要作用是使一个网络上的机器共享计算机文件、打印机、串行端口和通讯等资源。它也提供认证的进程间通信机能。它主要用在装有Microsoft Windows的机器上,这样的机器被称为Microsoft Windows Network。SMB v2是SMB协议的最新升级版。
2007年,微软发布了替换Windows Server 2003的新一代服务器操作系统Windows Server 2008,该系统支持多核处理器,拥有64-bit技术、虚拟化以及优化的电源管理等功能,吸引了许多企业用户将服务器操作系统更换为该系统。
据市场调研机构Gartner提供的数据显示,在2007年全球发货的服务器中,Windows服务器的份额已经增长到66.8%,其中Windows Server 2008占了主流。在2008年~2009年,Windows Server 2008成为微软的主打产品之一,份额呈现上升趋势。根据以上数据测算,全球大约有五分之一的服务器使用的操作系统是Windows Server 2008。
原理:SMB溢出
这次导致蓝屏漏洞出现的原因,是一个名为SRV2.SYS的驱动文件不能正确地处理畸形数据结构请求。如果黑客恶意构造一个恶意畸形的数据报文发送给安装有Windows Server 2008的服务器,那么就会触发越界内存引用行为,让黑客可以执行任意的恶意代码(图1)。
做一个形象的比喻,这就如同一座大桥的检查站一样,检查人员只根据卡车上标注的吨位来估算卡车能否通过这座桥,而事实上黑客可以让一辆超载的卡车同样标注上合格的吨位通过检查站。由于没有做真正的称重,检查人员只凭借标注吨位来识别,最终导致超载的卡车危及大桥安全,导致桥毁车亡。
模拟:实测蓝屏漏洞
步骤1:准备好蓝屏漏洞的测试程序(该程序由安天实验室特制,不过由于危害太大,不能提供下载),然后在网络中搜寻、下载一款端口扫描程序,此次测试我们选择的是L-ScanPort端口扫描器(软件下载地址:http://www.shudoo.com/bzsoft)。
步骤2:打开L-ScanPort端口扫描器(图2),在IP地址一栏中输入想扫描的网络段落,例如“192.168.1.1”作为起始段,“192.168.255.255”作为结束段。然后在软件界面中找到“端口列表”一项,勾选上“445”端口,点击“GO”按钮扫描。
如果有开启445端口的Windows Server 2008,那么就意味着黑客可以发动蓝屏攻击了。测试中,我们准备了一台装有Windows Server 2008并开启SMB共享协议的服务器,扫描记录下该服务器IP地址之后,准备发动攻击测试。
步骤3: 在扮演攻击方的电脑中,我们打开“命令提示符”,将测试程序放在C盘根目录,然后在C :\>根目录下,输入攻击命令:SMBv2.exe [被攻击服务器IP地址](图3)。我们以最快的速度跑到被攻击测试服务器面前,看到了下面的一幕(图4)。
防范:没有补丁这样防
由于目前该漏洞没有补丁,所以我们给出一个临时解决方案,管理员必须手动在防火墙上关闭139端口和445端口,这种方法可以屏蔽来自英特网的所有的未经请求的入站通信,但是停止该协议后,也就意味着用户将不再能正常使用网络内共享的文档和打印机了。
深度分析
大多数安全研究员不相信该漏洞仅可以实现蓝屏效果,据我们所知,这个微软官方一度认为不可能实现其他攻击行为的漏洞,变成了可以实现远程执行代码的高危漏洞。有安全研究员发现,通过新的手段可以利用该漏洞执行黑客制定的恶意代码,例如后门、木马,最终实现控制整台服务器的目的。
如果黑客能够实现控制文件共享服务器,也就意味着黑客盗取保存在Windows Server 2008服务器中的企业数据将易如反掌。事件的严重性超出了许多安全组织的想象,在此时,或许全球的黑客都在疯狂地分析该漏洞,紧随其后的很可能就是利用该漏洞发动的服务器蠕虫攻击风暴……
卸载Windows Live Messenger 何道兵:我在http://im.live.cn/下载安装了“Windows Live 软件包2009版(含MSN9.0)”,感觉不好用,想把它卸载掉。但我在Windows Vista里找了半天都没找到它的卸载程序,“开始”菜单里没有,控制面板的安装删除程序里也没有。请董师傅帮忙将它卸载掉,谢谢!
你可以使用微软的Windows Installer程序清理工具Windows Installer CleanUp Utility(下载地址:http://dl.pconline.com.cn/html_2/1/62/id=9753&pn=0.html),在上面找到Windows Live Messenger,单击“Remove”按钮即可将它卸载掉。
董师傅提示:Windows Installer CleanUp Utility的功能比较强大,它可以看到那些被直接删除掉的,并且不是正常卸载的软件。如果你曾经不正常卸载Office、Windows Live Messenger等软件,导致它们的升级安装、使用有问题,可以尝试使用Windows Installer CleanUp Utility来查看,将不正常程序卸载干净。
如何清除Nwizs.exe病毒
最近我上网以后系统运行就特别缓慢,请朋友帮我检查后得知,应该是有大量数据在后台下载造成的。朋友建议我杀毒,可启动杀毒软件没有任何反应,这时朋友告诉我上安全论坛求助试试。上网后,浏览器默认打开了谷歌首页,朋友说这种现象不对头,果然我进入安全论坛后窗口马上被关闭。请问医生,这到底是怎么回事?我的系统中了什么病毒?
是我修改你的首页
SSDT中文名词是“系统服务描述符表”。大量的安全工具都是通过它在系统内部改变程序的运行规则,从而使程序出现可疑行为时,安全软件会对用户进行警告。
嘻嘻,我坦白,是我干的!记住我的名字:大水牛下载者。我是一款结合了木马、流氓软件特点的下载病毒。当我通过网页木马等方式进入到用户系统以后,首先会在系统目录释放出多个病毒文件,并且在所有的驱动器下创建Autorun.inf 和Nwizs.exe,从而让用户双击磁盘就中招。
接着,我的主文件Nwizs.exe会修改系统注册表,添加到启动项里面,从而实现开机后随机启动,并且用户无法看到病毒文件和相应的注册表键值。另外,Nwizs.exe还会进行IFEO 映像劫持、破坏注册表隐藏键值、定时悄悄地弹出窗口,并且还设置IE浏览器起始页,默认设置的是谷歌的首页。
然后,我会创建两个Svchost.exe进程来运行自己。由于在正常系统中会同时存在多个Svchost.exe进程,这样就具有很强的迷惑性,普通用户无法判断该终止哪个进程。在系统的临时目录里面,还会释放一个5 位字符组成的随机名的.tmp 文件,利用它来替换加载的%SystemRoot%\system32\drivers\Beep.Sys。这样就可以在无系统提示的情况下,悄悄覆盖系统的SSDT表,从而让系统中具有主动防御的杀毒软件失效。
最后,我会插入到进程Iexplore.exe中,查找并关闭杀毒软件的进程。同时关闭带有关键字的窗口,关键字包括金山毒霸、江民等。入侵活动进行得差不多了,我就会从网络中下载其他病毒。
看我庖丁解“牛”
我来了!有我在,大水牛病毒你还能猖狂?看我如何把你解剖了。
第一步:首先断开计算机网络,截断病毒和外界连接的途径。打开命令提示符窗口,输入命令:Nwizs.exe -clear(见图)。该命令可以让病毒的自我保护功能立刻消失,这样为后面的清除铺平了道路。大约等上一分钟就可以了,然后启动SREng,点击SREng主窗口“启动项目”按钮,选中“注册表”标签删除那些红色的项目,这些都是被映像劫持的内容。
第二步:在开始菜单中的“运行”中输入Regedit,从而打开系统的注册表编辑器。依次展开到HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V,会在窗口中发现“”PID1“=”和“”PID2“=”两项内容,其中PID1和PID2分别对应伪造的Svchost.exe的PID。运行《冰刃》后点击工具栏中的“进程”按钮,分别结束PID1和PID2指向的两个Svchost.exe进程。
第三步:重新启动系统,点击“文件夹选项”命令,选取其中的“显示隐藏文件或文件夹”和清除“隐藏受保护的操作系统文件(推荐)”前面的钩。然后搜索System32目录中的Hook_nwizs.Dll和Nwizs.Exe文件,以及各个磁盘分区下的Nwizs.exe 和Autorun.inf文件,找到以后将它们删除就可以了。
From:http://www.itcomputer.com.cn/Article/Network/201309/89.html