2015_лекции / Лекция №9_2015_botnets

Общая структура червей

Модуль обнаружения цели

Сбор e – mail адресов

•Использование адресной книги. Пример червь Melissa@mm (1999)

•Поиск и разбор файлов по специальным расширениям * .wab, htm, sht, php, asp, dbx, tbb и т. д.

•Сбор e – mail адресов с помощью NNTP – протокола.

•Поиск e – mail адресов с помощью поисковых движков.

Пример: Mydoom@mm.

•Поиск e – mail адресов c помощью утилит обмена мгновенными сообщениями (ICQ, MSN Messenger и т.д.)

•Отслеживание исходящих сообщений на лету

Общая структура червей

Модуль обнаружения цели

Использование общих (shared) ресурсов сети

Идея: получить доступ к машинам в сети через совместно используемые сетевые ресурсы

 Поиск узлов в сети с помощью специального интерфейса Например, WNetOpenEnum, WNetEnumResource, NetShareEnum

Успеху способствуют:

•Отсутствие паролей (пустые пароли).

•Слабые пароли (123, 1234, ... , admin, password,….)

Атаки на пароли направлены на получение прав администратора.

Основные способы:

•Кей логгеры

•Снифферы.

Общая структура червей

Модуль обнаружения цели

Сканирование сети и анализ (fingerprinting) цели = скорость распространения червя

Использование хит-листов

Генерирование адресов случайным образом

Построение адресов по специальному правилу

Общая структура червей

Модуль обнаружения цели

Сканирование сети и fingerprinting цели

Пример. Червь Linux/Slapper

генерация IP-адресов сети А-класса с учетом неправильных адресов

unsigned char classes[ ] =

{3,4,6,8,9,11,12,13,14…};

a= classes[rand()%(sireof(classes))]; b= rand();

c=0;

d=0;

Общая структура червей

Анализ цели

Общая структура атаки сетевого червя

Общая структура червей

Типы сканирования портов