Jak działa Conficker?

Do tej pory o robaku Conficker pisało się dużo, ale przy okazji niekonkretnie. Teraz garść informacji, które mogą być faktycznie przydatne dla administratorów serwisów.

Botnet Conficker, jeden z najgroźniejszych i najbardziej medialnych robaków internetowych, wykorzystuje do komunikacji ze swoim centrum kontroli (Command & Control) protokół HTTP, łącząc się z serwerem (serwerami) kontroli (tzw. kontrolerem) na porcie 80. w celu pobrania nowego pliku binarnego.

Serwery, z którymi łączy się bot, lokalizowane są z wykorzystaniem DNS, poprzez pseudolosową codzienną generację nowej listy kilkuset domen (najnowsza wersja Confickera generuje nawet 50 000 domen dziennie – najbardziej obecnie popularna wersja generuje tylko 450 domen).

Conficker odpytuje DNS o każdą domenę z listy i próbuje połączenia z uzyskanym w ten sposób adresem IP, licząc na to, że pod którymś adresem znajdzie swój serwer kontroli. Tylko niektóre z wygenerowanych domen wskazują na serwer ze złośliwym kodem, co nie zmienia faktu, że wiele serwerów może zostać odpytanych "przy okazji" przez poszczególne boty, a więc serwery, na których postadowione są zupełnie niewinne serwisy WWW.

Takie (prawdopodobnie) niezamierzone przez twórców tego robaka działanie może hipotetycznie doprowadzić do ataku Distributed Denial of Service na istniejące serwisy WWW.

Specjaliści zajmujacy się analizą kodu Confickera uzyskali na szczęście algorytm, którym posługuje się Conficker w celu wygenerowania listy domen – celów ataku/pobrania nowych binariów. Część tych domen jest już dawno zarejestrowana, a pod tymi nazwami znajdują się różnorakie serwisy, jak chociażby witryna www.nask.pl. Każda domena na liście może być celem nieświadomego ataku Confickera, skutkując poważnymi zaburzeniami w funkcjonowaniu serwisów.

Na stronie www.conficker.pl publikujemy listę nazw domen, które mogą być celem takiego nieświadomego ataku bota.

Jeśli Twoja domena znajduje się na tej liście, warto przedsięwziąć środki celem zmniejszenia skutków ewentualnego ataku DoS (Denial of Service) na Twój serwis WWW.

Strona tego bloga

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

19 skomentuj »

Komentarze

#1 modul^® 2009-03-31 12:55:48 1
Na dzień dzisiejszy 157 134 domeny .pl :D (swoją drogą można by tą liste posortować alfabetycznie)

Scenariusz prawie jak w filmie "Nieuchwytny", i jeśli wirus odniesie sukces, wirusów w ten sposob pisanych będzie więcej.

Jeśli więc specjaliści rozpracowali kod wirusa, czemu by go nie zaatakować własną bronią?

Wystarczy na serwerach z listy (tych na których administratorzy się zgodzą) umieścić kod z dalszymi instrukcjami. Instrukcje te mogą nakazać robakowi zaprzestanie dzialania / naprawienie systemu itd. (z tym już poradzili by sobie twórcy antywirusów).

Aby jednak nie ograniczać funkcjonowania strony - można zrobić proste przekierowanie:

...

meta HTTP-EQUIV="Refresh" CONTENT="0; URL=index2.php"

...

(zakładam, że robak nie rozumie HTML'a, jeśli tak nie jest - można wymyślić coś lepszego).

Serwery DNS posiadając listę adresów www narażonych stron mogłyby wysłać do jej administratorów maile z dokładną instrukcją co gdzie wstawić itd.
IP: 83.26.102.[...] Opera/10.00 (Windows NT 5.1; U; Edition Turbo; en) Presto/2.2.0
#2 Andrzej Bartosiewicz^® 2009-03-31 12:57:56 0
@1: nic nie da umieszczanie kodu "podstawionego" - Conficker sprawdza czy pobrany kod jest autentyczny tj. czy zostal podpisany własicwym kluczem prywatnym. Przekierowanie też nic nie da - Conficker sprawdza czy dwa odpytane serwery maja ten sam IP, jeśli ten sam to zakłada że trafił na fałszywkę i przestaje zajmowac się tymi serwerami. Wiele firm informatycznym mogłoby nauczyc się jak pisać aplikacje właśnie od twórców Confickera....
IP: 193.59.204.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7
#3 Andrzej Bartosiewicz^® 2009-03-31 12:59:10 0
Co do sortowania (zapomniałem dodać to do mojego poprzedniego postu) - lista posortowana jest po czasie ataku, im dalej na liście tym później ewentualny atak...
IP: 193.59.204.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7
#4 aaaaaaaa 2009-03-31 13:28:35 0
Conficker opiera się tylko i wyłącznie na domenach .pl?
IP: 83.30.161.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (.NET CLR 3.5.30729)
#5 Andrzej Bartosiewicz^® 2009-03-31 14:07:12 0
@4: nie, wykorzystuje potencjalnie 115 innych TLD (razem z .PL jest to 116 TLD, czyli potencjalnie jest w to zamieszanych ponad 17 milionów domen w samym 2009 roku)
IP: 193.59.204.[...] SuperBrowser 7.9.4A.767
#6 Boryc 2009-03-31 14:55:57 0
Po tym wszystkim widać że jest to dość dobra robota. Mam pytanie jaką wielkość zajmuje ten robak?
IP: 149.156.124.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.53 Safari/525.19
#7 modul^® 2009-03-31 15:28:54 0
@ab: pisząc o przekierowaniu miałem na myśli przekierowanie przeglądarek internetowych (a nie wirusa). Dzięki temu nie zapcha się tak szybko serwera zapytaniami (np do bazy SQL) przy generowaniu strony, bo treść pobierana przez wirus, będzie miala jedynie polecenie przekierowania, którego on nie wykona bo nie rozumie HTML
IP: 83.26.102.[...] Opera/10.00 (Windows NT 5.1; U; Edition Turbo; en) Presto/2.2.0
#8 Andrzej Bartosiewicz^® 2009-03-31 15:42:40 0
@07: odpowiedź na Twoje pytania powinieneś znaleźć na:

http://mtc.sri.com/Conficker/

Tam jest co prawda dokładny opis poprzednich Confickerów, ale widzę że pojawił się też opis wersji C Confickera, wersji która generuje 50 000 domen na dobę.

Co do wielkości to trudno powiedzieć jakie będą nowe binaria, właśnie bot wykorzystuje domeny aby pobrać z serwera najnowsze binaria. Wielkośc binariów jest zapewne zmienna, natomiast to co jest pewne to to że: There is also a

file size limit imposed by C of 512 Kbs.
IP: 193.59.204.[...] bartosiewicz.pl
#9 cypherq 2009-03-31 21:44:47 0
Pewnie czegoś nie skapowałem, ale chyba ktoś te binaria umieszcza na tych serwerach? Nie da się znaleźć winnego?
IP: 83.22.148.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8
#10 keksija 2009-03-31 22:38:24 0
tak, ale serwer można złamać, wrzucić tam plik... tym wirusem, więc de facto on może sam siebie uaktualniać (tzn. choćby jeden uaktualniony może uaktualniać resztę).
IP: 78.8.3.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.53 Safari/525.19
#11 keksija 2009-03-31 22:38:31 0
tak, ale serwer można złamać, wrzucić tam plik... tym wirusem, więc de facto on może sam siebie uaktualniać (tzn. choćby jeden uaktualniony może uaktualniać resztę).
IP: 78.8.3.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.53 Safari/525.19
#12 BUAHAHA!!! 2009-03-31 23:33:49 0
TO JEST PROMA APRILIS !!!!
IP: 83.6.213.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8
#13 clondike 2009-04-01 00:38:35 0
@BUAHAHA

Pewnie większosć z nas chciałaby, żeby to był tylko (kiepski) żart.
IP: 91.145.148.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (.NET CLR 3.5.30729)
#14 Andrzej Bartosiewicz^® 2009-04-01 08:34:54 0
#9: złapanie kogoś będzie bardzo trudne, w takich sprawach raczej niemożliwe...

@10: złamac serwer???? tu nie chodzi o żadne włamanie do serwera ale podpis cyfrowy; pisałem, że binaria są cyfrowo podpisane i wystarczy że klucz jest długi, a proces ewentualnego "złamania" będzie niemożliwy
IP: 193.59.204.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7
#15 cypherq 2009-04-01 09:45:16 0
No, ale jakieś logi czy coś? Akurat w tematyce bezpieczeństwa nie jestem jakoś świetnie obeznany, ale przecież są chyba jakieś ślady? Ktoś musi podrzucać te binaria, zostawiać logi czy coś?

Więc pytam, dlaczego niemożliwe? Bo może nie dostrzegam ogromu tego przedsięwzięcia, ale jest dla mnie czymś zadziwiającym, że twórca tego wirusa jest nieuchwytny.
IP: 83.22.148.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8
#16 Andrzej Bartosiewicz^® 2009-04-01 10:01:13 0
@15: serwer u providera, opata za kolokację/hosting gotówką, dostęp zdalny przez UMTS z przedpłacona karta... no way żeby łatwo znaleźć taka osobę.
IP: 193.59.204.[...] http://www.bartosiewicz.pl
#17 Adam-sdasd 2009-04-02 09:36:16 0
no i co się stało?
IP: 193.34.52.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1b3) Gecko/20090305 Firefox/3.1b3 (.NET CLR 3.5.30729)
#18 Andrzej Bartosiewicz^® 2009-04-02 10:37:26 0
@17: nic się nie stało, dalej ok. 3 milionów komputerów jest zarażonych, jak właściciel bota będzie chciał wgrać tym botom nowy soft, to zrobi to w dogodnym dla siebie momencie; na miejscu właściciela bota poczekałbym tak kilka tygodni, żeby sprawa ucichła i wtedy zrobiłbym upgrade....
IP: 193.59.204.[...] http://www.bartosiewicz.pl
#19 Sqrcz 2009-04-09 16:11:35 0
"Jeśli Twoja domena znajduje się na tej liście, warto przedsięwziąć środki..."

Jakie środki, conależy zrobić? (właśnie znalazłem tam jedną ze swoich domen)
IP: 85.222.25.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.53 Safari/525.19

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.