Co robić,
gdy wykryjemy w systemie obecność TROJ_TRINOO, wskazującego na atak typu DDoS
?
Jest to Trojan, który działa w środowisku
Windows i szybko się rozpowszechnia !
Opanowując stację daje atakującemu możliwość
włamania do całej sieci. Symptomem infekcji jest pojawienie się w oknie
dialogowym zadania o nazwie "Services". Pierwotnie programy typu
DDoS wykorzystujące Trinoo były przeznaczone dla systemów UNIX. Natomiast tę
wersję przygotowano do pracy w środowisku Windows.
Jak działa.
Po uruchomieniu rezyduje w pamięci czekając
na sygnał z serwera master. Po otrzymaniu pliku aktywacyjnego otwiera port
"34555" umożliwiając zrealizowanie różnorodnych funkcji, jak na
przykład die, quit, mdos, info i inne. Jedynym warunkiem jest znajomość
adresu IP maszyny z trojanem. Aby mógł uruchomić się po zresetowaniu
systemu operacyjnego w katalogu systemowym Windows (\WINDOWS\SYSTEM) wgrywany
jest plik SERVICE.EXE. Poza tym modyfikowany jest rejestr:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run (wartość
service.exe w System Services).
Jak się go pozbyć.
Program ten można usunąć ręcznie. W tym
celu należy odłączyć komputer od sieci i Internetu. Zapobiegnie to możliwości
ewentualnego śledzenia prób usunięcia Trojana .
Następnie należy zmodyfikować rejestr,
uruchamiając REGEDIT.EXE z Start Menu\ Run, oraz przechodząc do
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Zlokalizować i usunąć plik SERVICE.EXE
(uwaga: nie pomylić z plikiem SERVICES.EXE , znajdującym się w systemach
Windows NT i Windows 2000). Rozmiar pliku: 23,145 bytes.
Wyczyścić pamięć komputera - wcisnąć
CTRL-ALT-DEL jeden raz, wybrać i usunąć zadanie “Service”.
Wreszcie jesteśmy wolni (do czasu ...).
Troj_Trinoo jest wykrywany przez
oprogramowanie Trend Micro
z najnowszymi uaktualnieniami
wzorców wirusów.W przypadku jego wykrycia prosimy o przekazanie informacji
do specjalnego zespołu (Virus Team) virus_doctor@trendmicro.com.
Koledzy "po fachu".
Trinoo
Nazywany także trin00, to program
agent komunikujacy się poprzez protokół TCP oraz UDP. Działa na platformie
systemów Linux i Unix. Do zrealizowania określonych funkcji potrzebuje łacza
telnet do sterowanego przez atakującego procesu MASTER oraz podania hasła. W
przypadku Trinoo nie jest określony limit na ilość kontrolowanych agentów.
NS to także agent, określany także terminem “broadcast host.”
Najczęściej spotykane lokacje wspomnianych programów to zazwyczaj serwery
dostawców usług internetowych (ISP).
Typowy schemat działania wygląda następująco:
Napastnik(cy)->MASTER->AGENT(agenci)->OFIARA(ofiary)
Stacheldraht.
Kod źródłowy programu opiera się
na TFN, jest wzbogacony o cechy Trinoo oraz mechanizm kodowania danych na łączu
pomiędzy atakującym a procesem MASTER. Stacheldraht wykorzystuje mechanizmy
TCP i ICMP.
CLIENT jest telnetowym programem kontrolującym grupę procesów MASTER.
Poprzez specyficzne instrukcje jest możliwe całkowite zablokowanie terminala
ofiary z dowolnego miejsca na świecie, na przykład poprzez instrukcje
pakietu zerowego.
MSERV to proces, często określany terminem zarządcy. Każdy zarządca może
kontrolować do 1000 agentów.
TD jest programem typu agent. Po otrzymaniu zakodowanej instrukcji od zarządcy
inicjuje zmasowany atak na wybrane terminale ofiar.
Typowy schemat działania wygląda tak:
Napastnik -> CLIENT-> MSERV -> TD
-> OFIARA(ofiary)
TFN, czyli Tribal Flood
Network
TFN to agent DDoS. Rodzaje ataków: ICMP
flood, SYN flood, UDP flood, oraz Smurf. Potrafi także ukryć się instalując
na zaatakowanym systemie “root shell”. Połączenie atakującego z
procesem master nie jest kodowane. TFN wykorzystuje ICMP w związku z czym może
przenikać niezauważenie przez systemy zaporowe. Nowe wersje programu
zawierają mechanizm kodujący (algorytm blowfish). Procesy Klient oraz Demon
muszą być uruchamiane z przywilejem root.
Typowy schemat:
Napastnik -> Klient -> Demon(s) ->
Ofiara(y)
Jak wykryć ?
Firma
Trend Micro dostarcza bezpłatnie
program Scan DDoS, (dla systemów SPARC/Solaris
(2,6 MB) oraz Linux RedHat
(2,22 MB) i SuSE
(2,26 MB), który wykrywają obecność agentów: STACHELDRAHT, TFN oraz
TRINOO. Programy dostępne są także poprzez serwer
ftp.
Gdy okaże się, że jesteśmy
ofiarą ataku typu Distributed Denial of Service (DDoS).
Technika blokowania systemów komputerowych
określana nazwą DDoS nie jest nowa, jednak ostatnio stała się głośna za
sprawą spektakularnych akcji skierowanych między innymi przeciwko największym
serwisom internetowym. W zarysie polega na wysyłaniu znacznej ilości żądań
obsługi, co w konsekwencji prowadzi do spowolnienia systemu, a nawet jego
kompletnego zawieszenia. Co więcej, rozpowszechniła się także technologia
umożliwiająca przeprowadzenie takich ataków.
W przypadku , gdy do sieci dociera
nadspodziewanie duża ilość pakietów należy przedsięwziąć następujące
kroki:
1) ustalić dokładny czas ataku.
2) ustalić swój adres IP (w przypadku niektórych połączeń adres ten
zmienia się)
3a) przy połączeniu poprzez modem (dial-up), rozłączyć, a następnie
przywrócić połączenie. Może to rozwiązać problem z uwagi na
przydzielenie innego adresu IP.
3b) W przypadku połączenia poprzez łącze stałe lub sieć ze stały
adresem IP należy, wykorzystując programy zabezpieczające, spróbować
ustalić adres napastnika. Przestrzegamy przed przeprowadzeniem kontrataku,
gdyż nie jest to działanie zgodne z prawem.
4) Jak najszybciej skontaktować się z dostawcami usług ISP: własnym i
napastnika. Najlepiej wysłać pocztę do :
Opracowano na podstawie materiałów
Trend Micro
© 1999 Trend Micro Incorporated. All Rights Reserved
