再びゼラチン

ゼラチンの「ウイルス」の研究の歴史の続きは、ストームワーム、ピーコムなどです。 最新号の冒頭ご覧ください。



それで、ゼラチン。 うん また。



私が最初に出くわしたのは、ゼラチンに関する技術情報がないことでした。 Googleはもちろん、ウィキペディア[WIKI]に直接送信します。 ここで少し学びます。



1.ウイルスには、ボットネット[WIKI1]に感染したマシンが含まれます。

2.ゼラチンネットワークは、オーバーネットネットワークを修正したものです。



ロシア語のゼラチンの小さな歴史も[KASP]に含まれています。



オーバーネットがどのように機能するかを理解することが、さらなる分解の基礎となります。 したがって、この問題ではこの基礎を研究します。



いくつかのリンクをたどると、ゼラチンネットワーク[PPT]の説明が見つかりました。 Overnetの顧客の既製の実装を見つける試みも成功しました[KADC]。 KadCライブラリを一見するだけで、バレンタインマルウェアの逆アセンブルコードのあいまいな機能を認識することができました。 多少の変更はありますが、フィールドのKadCコードはゼラチンの基礎になります。 この理由のみが、McAffeeスペシャリストの完全に厚かましい声明を説明できます。

「ボットテクノロジーは急速に進化しており、多くの場合、支援され、

残念なことに、オープンソースの動きによって敗れました。」


[MCAF]は、[CNET1]および[ASHIMMY]でも説明されています。 検察でカデムリアを開発したマサチューセッツ工科大学の勇敢な科学者を含めることで、彼らの世界観を広げることができれば幸いであるというマッカフィーの仲間の注意を引きたい。



最も貴重なリソースの1つは[REC]です。 そこで、最初のゼラチンの1つのオリジナルバージョンを取ることができます。 それから、それはほとんど普通の:)暗号化された実行可能ファイルで、その痕跡はルートキットドライバーによって慎重に共謀されました。 最初のバージョンの利点は、メッセージを台無しにしないことです。つまり、wiresharkはそれらをedonkey形式でデコードできることを意味します。



ところで、「がらくた」トラフィックについて。 事実、最後から2番目のタイプのゼラチン(そして、最後の4月1日は4月1日に配信された)は、ちなみに過去の変更とOvernetの顧客の両方が理解できる通常のメッセージを作成します。 しかし、送信する前に、彼はハードコードテーブルを使用して、ksorで送信します。 「変種」の代表者のみが「兄弟」のトラフィックを処理できるという事実は、この修正[HAC]に基づいて構築されたボットネットのサイズの縮小を示しています。 ボンネットがいくつかの小さなものに分割されたという他の初期の証拠がありました[ZD]。



厳密に言えば、ゼラチンなどは...えー...プログラム...はウイルスではありません。 ローカルメディア上のファイルに感染せず、破壊的なアクションを実行しません。 彼らは:)自分自身を広げ、スパムし、ドス攻撃に参加し、おそらく何か他のことをします[SCH]。 明らかに、まず第一に、ゼラチンの個々のコピーが互いにどのように通信するかを調べる必要があります。



Gelatinは、MITで開発された分散ハッシュテーブルモデルであるKademlia [WIKI3]のアイデアの実装であるOvernet [WIKI2]ネットワークを使用しますが、これはmuhra muhra向けではありません。 ネットワークの主要な戦闘ユニットは、ノード、ピアです。 意識のあるノードの主要なタスクは、まずネットワークに入ることです。 これを行うために、ゼラチンには最初に接続しようとするノードのリストがあります。 最初のバージョンでは、このリストはウイルスの本文に直接ハードコーディングされていました。最新バージョンでは、本文にもハードコーディングされていましたが、抽出されてiniファイルに保存されました。 ちなみに、それなしで、ファイルなしで、バレンタインゼラチンは機能しません。 「最初の円」のノードのアドレスは、おおよそ次の形式で記述されます。



00003D6C8F338A3FDD3DF3648666F55C = BE56062A5DC600

0100A634122F3553A046EC451061927C = 4B6EB028151500

02007E238D780D25FD5511285E2E596E = 58E941B3100A00





ここで、符号の前の数字は異なります-これはOvernetID(oid)、またはノードのハッシュで、ランダムに生成される128ビットの数字です。これについては後で詳しく説明します。 符号がIPアドレス(BE56062A = BE.56.06.2A = 190.86.5.42)、ポート(5DC6 = 24006)、および最後のバイトがホストのタイプになった後。



新しいノードが他のノードに送信する最初の(そして最も頻繁に使用される)メッセージはPUBLICIZEです。 これは一種のpingであり、その助けにより、当事者は互いが利用可能であることを確認します。 このメッセージは、一部のソースでは「HELLO」と呼ばれています。 内部では、送信ホストのoid、IPアドレス、ポート、タイプが送信されます。 一般に、iniファイルと同じデータ。



新しいノードは、宛先が利用可能で応答していることを確認した後(メッセージ「PUBLICIZE_ACK」、2バイト長-ヘッダーとメッセージコード)、CONNECTのリクエストを送信します。 メッセージの構造は、メッセージ「PUBLICIZE」と同じです。 このメッセージへの応答として、受信側



1.既知のノードのリストを送信し、

2.送信者をこのリストに追加します(それに応じて、新しい「CONNECT」への応答として「新しい」アドレスを送信します)。



新しいホストは、受信したアドレスをホストリストに追加します。 指で数えると、バレンタインゼラチンの一部であるdiperto.iniには823個のノードのアドレスが含まれていました。 そして、少なくとも半数が20のアドレスで回答した場合、...幸いなことに、ゼラチンは「正しく」書かれています。 既知のノードのリストのサイズは、1024要素に制限されています。



次のステップは、ノードが宛先ノードを探すアドレスを見つけることです。 これを行うために、ゼラチンはtcpポートを開き、リッスンを開始します。 彼はIP_REQメッセージでポート番号を送信し、このメッセージを受信した人は、このメッセージを受信したアドレスを含むIP_REQ_RESメッセージで応答します。 これは、NATおよびファイアウォールの制限を回避するために行われます。



これでネットワークへの接続プロセスは完了しますが、ゼラチンは、何らかの理由で使用できなくなったノードをすばやく削除するために、リストから頻繁にノードにpingを実行します。



ちなみに、着信メッセージの処理サイクルを停止するには、74BE2A5Dhという番号を彼に送信するだけで十分です。 これはバグではありません-彼はそれを自分自身に送って作業を完了します。 実行可能コードをアップグレードすることもできますが、実際にはゼラチンは機能しますが、着信メッセージの処理は完全に拒否されます。 このような不器用な方法は、感染したマシン上でそれを無力化するために試されます。



したがって、次の形式のメッセージの交換が続きます(Z-ゼラチン、H-ホスト):

Z→ 公開 →H

Z← PUBLISIZE_ASK ←H

Z→接続→H

Z← CONNECT_RES ←H

Z→ IP_REQ →H

Z← IP_REQ_RES ←H



次に、分散ハッシュテーブルとしてのオーバーネットネットワークの主な目的について簡単に説明します。 ネットワークの主な目標は、ファイルの交換、あるいは、可能な限り検索を高速化するような方法でのファイルとその場所に関するデータの公開です。 簡略化すると、このスキームは次のようになります。



データを公開する必要があるホストは、ファイルのコンテンツのMD4ハッシュ(または公開されている情報に応じてキーワード)を計算し、このハッシュに最も近いOIDを持つノードを検索します。 (近接度は、XOR演算の結果によって決まります。XOR演算は、同じビットに対してゼロを返します。つまり、まったく同じハッシュに対してゼロを返します)。 これを行うために、パブリッシャーは、リストからすべてのホストに、目的のハッシュを含むSEARCHメッセージを送信します。 このようなメッセージを受信するノードは、リストから複数の(?)アドレスを近接度の高い順に見つけ、このリストをメッセージSEARCH_NEXTとともに送り返します。 ノードがSEARCH_NEXT内で独自のアドレスを送信すると、検索は終了します。 個別に公開されたメタデータと、このファイルをダウンロードできるサイトに関するデータ。



まったく同じ方法ですが、反対方向に検索が行われます。 ハッシュは特定の方法で計算され、SEARCH-SEARCH_NEXT交換が行われます。その後、TCP接続パラメーターが検出され、その後、ファイルがダウンロードされます。



最も単純なバージョンでは、ゼラチンは適切なホストを見つけ、そこから電子メールのリストをダウンロードし、多くの方法でスパムを開始します。



たとえば、次のように:

  220 hnicpmaa01.vnn.vn ESMTPサービス(7.3.118.8)準備完了
 HELO xxxx.xxx.xxxx.com
 250 hnicpmaa01.vnn.vn
メール送信元:pcec-vmi-onsite@aliceadsl.fr
 250からのメール:pcec-vmi-onsite@aliceadsl.fr OK
 RCPT TO:dmchn@hn.vnn.vn
 550 RCPT TO:dmchn@hn.vnn.vnユーザー不明
やめて
 221 hnicpmaa01.vnn.vn終了




a href = "mailto:"-これは私の発明ではなく、何らかの理由で自動的に置き換えられます(



次の号では、具体的に何を、どのようにゼラチンがネット上で検索されるかについて説明します。



文学



アシミー。 マカフィーのオープンソースに関する声明は、Matt Asay氏との闘いです。
CNET1。 オープンソースに対するマカフィーの名誉損。
HAC。 ボットネットは小さくなっています。
KADC。 KadCライブラリ。
KASP。 現代情報の脅威、2008年第1四半期//嵐は続きます。
MCAF。 ボットネットを殺す。
PPT。 ブランドン・エンライト。
記録 Peacomm.C-一言で言えばクラッキング。
SCH。 ストームワーム。
WIKI。 ストームワーム。
WIKI1。 ストームボットネット。
WIKI2。 オーバーネット。
WIKI3。 カデムリア。
ZD。 ストームワームボットネットパーティションの販売。



All Articles