1.1 网络攻防实际案例——黛蛇蠕虫

黛蛇（Dasher）蠕虫是互联网上爆发的一个著名蠕虫案例，对该蠕虫的应急响应处置是笔者在学生阶段与狩猎女神团队（中国蜜网项目组）一起在网络攻防技术领域的“开山之作”。我们在第一时间监测到了黛蛇蠕虫的活动，并截获了传播样本，在深入分析样本行为机理的基础上，协助国家计算机网络应急技术处理协调中心（CNCERT/CC）对该蠕虫实施了有效控制，从而避免了它的进一步爆发性传播。本节将通过回顾黛蛇蠕虫事件全过程，以及重现蠕虫传播场景，希望给读者留下对网络攻防领域的一个初始印象。

1.1.1 黛蛇蠕虫事件过程

从1988年莫里斯（Morris）蠕虫造成互联网前身阿帕网（ARPANET）瘫痪开始，蠕虫一直是危害互联网的一类重要安全威胁形态，特别是2001—2004年间，红色代码（Code Red）、冲击波（Blaster）、震荡波（Sasser）等蠕虫接踵而来，传播方式日趋多样化且传播速度日益提升，天空（Skynet）、Mydoom、贝革热（Bagle）甚至在互联网上打起了蠕虫大战，一时间互联网网民深受其害，从而谈“虫”色变。

而黛蛇蠕虫，可以说是互联网安全威胁从网络病毒蠕虫时代终结、进入以僵尸网络和网页木马为热点的客户端威胁时代的网络蠕虫的一次“谢幕演出”。黛蛇蠕虫是2005年12月15日开始在互联网上爆发的，主要是利用微软Windows操作系统在同年10月份爆出的MSDTC服务MS05-051安全漏洞，同时还集成了MS05-039、MS04-045等漏洞的攻击代码。黛蛇蠕虫爆发后，狩猎女神团队通过在互联网上部署的蜜罐系统在第一时间截获了蠕虫样本，并积极配合CNCERT/CC对蠕虫爆发事件进行了应急处置，在应急响应的黄金时间里有效地抑制了蠕虫的传播，避免了黛蛇蠕虫像以往的著名蠕虫一样对互联网造成严重危害。

黛蛇蠕虫事件应急处置过程的时间线如下：

● 12月15日21:45，狩猎女神团队在第一时间监测发现并截获黛蛇蠕虫样本；

● 12月16日10:24，向CNCERT/CC报告了黛蛇蠕虫爆发事件，定位了用于传播的Shell控制指令、FTP服务器；

● 12月16日19:30，此时黛蛇蠕虫已感染上万台主机，CNCERT/CC协调关闭了用于传播的FTP服务器，从而控制了蠕虫的进一步传播；

● 12月16日19:45，发布黛蛇蠕虫样本分析报告；

● 12月17日协助CNCERT/CC对相关主机进行了取证分析，定位蠕虫编写者为河南省南阳市某ADSL用户，并追踪到蠕虫编写者的网名及个人博客；

● 12月18日15:00，协助CNCERT/CC发布黛蛇蠕虫公告，如图1-1所示。

● 12月19～20日，国内反病毒厂商和电信运营商开始关注黛蛇蠕虫威胁，并通过各种技术手段帮助网民用户有效地移除了黛蛇蠕虫。

1.1.2 黛蛇蠕虫机理

在截获黛蛇蠕虫样本之后，狩猎女神团队立即对样本进行了深入的手工分析，并利用基于API劫持（API Hooking）技术实现的MwSniffer恶意代码动态行为分析工具，揭示出了黛蛇蠕虫的行为机理。12月16日19:45，狩猎女神团队完成对黛蛇蠕虫的详细分析，在狩猎女神团队网站以及The Honeynet Project内部网站Dasher蠕虫事件处理讨论专题中进行了发布，并汇报给了CNCERT/CC。

在黛蛇蠕虫案例中，我们以蜜罐主机向外部网络1025端口发起的异常扫描流量为作为切入点，通过对蜜网捕获的数据进行关联分析，得到如图1-2所示的黛蛇蠕虫攻击场景，包括如下步骤：

① 外部感染源首先通过TCP 1025端口的MSDTC服务漏洞MS05-051攻陷蜜罐主机；

② 注入的Shellcode执行后将连接控制命令服务器，获取FTP服务器位置和下载指令；

③ 从FTP服务器下载黛蛇蠕虫样本到蜜罐主机；

④ 在蜜罐主机上激活黛蛇蠕虫；

⑤ 在蜜罐主机上激活后的黛蛇蠕虫将进一步对外进行扫描和传播。

黛蛇蠕虫运行后，会扫描并试图利用漏洞攻击目标主机，目标主机的地址是蠕虫携带的地址列表生成的，多数地址瞄准了中国互联网上的国内用户。蠕虫攻击目标主机成功后，会操纵目标主机自动连接到某控制命令服务器的53号端口，请求黑客指令，然后根据指令从某个FTP服务器下载并运行一个键盘记录软件和黛蛇蠕虫文件包，从而完成传染过程。其中存放样本的FTP服务器地址是由控制命令服务器动态指定的。蠕虫从FTP服务器下载的0.exe文件是可解压缩运行的键盘记录软件，该键盘记录软件会记录用户按键操作。下载的1.exe文件经解压缩执行后，在系统目录下的wins目录释放出6个可执行文件，分别为Sqltob.exe、Sqlscan.exe、Sqlexp.exe、Sqlexp1.exe、Sqlexp2.exe、Sqlexp3.exe。其中：

● Sqlexp.exe攻击MS04-045 WINS服务漏洞，协议和端口为TCP/42；

● Sqlexp1.exe攻击MS05-039 UPNP漏洞，协议和端口为TCP/445；

● Sqlexp2.exe攻击MS05-051 MSDTC漏洞，协议和端口为TCP/1025；

● Sqlexp3.exe利用SQL hello exploit工具攻击MS SQLServer漏洞，协议和端口为TCP/1433。

在黛蛇蠕虫行为机理分析过程中，一方面通过手工分析、辅助动态分析等手段掌握了该蠕虫的行为特征和模式，为CNCERT/CC应用进一步手段抑制该蠕虫大规模传播提供了决策支持；另一方面在分析过程中，我们特别对该蠕虫所连接的Shell控制命令服务器、FTP服务器、Web空间服务器的IP地址进行了特殊关注和持续追踪，这些信息也是进一步对黛蛇蠕虫实施取证分析和追踪的关键。

1.1.3 黛蛇蠕虫的取证分析与追踪

在有效应对处置黛蛇蠕虫、抑制了该蠕虫爆发的基础上，狩猎女神团队进一步协助CNCERT/CC进行了深入的受控主机取证分析以及对蠕虫编写者的追踪溯源，并最终确定了蠕虫编写者的上网IP地址、所在省市及其网络身份。由于响应及时，该案例并未对互联网造成严重影响，同时CNCERT/CC并不具备执法权限，因此未对蠕虫编写者进行更进一步的追查。

我们对黛蛇蠕虫的取证分析和编写者追踪的主要过程如下。

① 通过CNCERT/CC分中心协调，尝试获得黛蛇蠕虫传播过程中涉及的控制命令服务器、FTP服务器、Web空间服务器的远程访问，进行取证分析。

② 远程登录FTP服务器，获取到FTP服务器的Banner，发现包括[Evil Security Team]字样，同时可通过FTP显示的登录次数、下载文件数统计估计黛蛇蠕虫传播规模。经查该服务器属于中科院某研究所，通过CNCERT/CC陕西分中心协调获取到FTP服务器的远程访问权限，登录该FTP服务器（Windows Server 2003），对黑客上传的FTP服务程序、黛蛇蠕虫样本等进行了证据保全，并检查了黑客攻击该服务器的时间、以上传FTP服务程序以及黛蛇蠕虫样本的日志信息。由于该服务器并未有严格的日志记录，未能有效地分析出攻击来源。

③ 通过IP定位确认控制命令服务器属于湖南某大学，通过协调让该服务器下线检查，但未能取得该服务器的远程访问取证权限。

④ 通过CNCERT/CC广东分中心取得Web空间服务器的远程访问取证权限，经过检查IIS日志提取了蠕虫样本所访问Web空间的远程访问日志。并通过与前述FTP服务器的文件上传日志进行关联分析，找出了与黛蛇蠕虫的投放紧密相关的IP地址。

⑤ 通过进一步追查，定位该IP地址为河南省南阳市的某ASDL用户，通过CNCERT/CC协调电信确认为该市某用户上网地址。

⑥ 通过对[EST]黑客团队进行互联网搜索，找出“黑客”[EST]xi□□□u的个人博客地址，通过后期跟踪确定该名“黑客”即黛蛇蠕虫编写者，并对该名“黑客”进行了全面调查分析。

1.1.4 重现黛蛇蠕虫传播场景

根据对黛蛇蠕虫的行为机理分析结果，我们可以在物理隔离的单机环境上构建网络攻防的演示和实验环境，重现黛蛇蠕虫的传播场景。

我们在一台较高性能的服务器上，通过VMware vSphere虚拟化技术和蜜网技术的结合，利用虚拟蜜网技术框架，即可构建一套完整的黛蛇蠕虫传播场景演示和实验环境，如图1-3所示。

基于虚拟蜜网环境重现黛蛇蠕虫传播场景包括如下部分。

● 黛蛇蠕虫感染源：我们以VMware vSphere中的一台虚拟机作为黛蛇蠕虫感染源，在演示过程中，我们并不直接运行传播目标不受控制的蠕虫样本，而是用著名的网络渗透攻击开源软件Metasploit，以及从黛蛇样本中抽取出的渗透攻击代码（如攻击MS05-039安全漏洞的Sqlexp1.exe），来对感染目标主机进行受控的传播攻击实验。

● 控制命令服务器及FTP服务器：我们在VMware vSphere中另外使用一台虚拟机运行控制命令服务和FTP服务。控制命令服务以具有网络攻防瑞士军刀之称的netcat工具构建，FTP服务用Serv-U软件搭建。

● 感染目标蜜罐主机：以VMware vSphere中的一台虚拟机作为感染目标蜜罐主机，安装Windows 2000 Server存在相应安全漏洞的早期版本。蜜罐主机中安装Sebek开源攻击行为监控软件，从而对蜜罐主机上的键击记录等系统行为进行采集。

● 蜜网网关：同样在VMware vSphere中使用虚拟机部署用于网络行为捕获和控制的蜜网网关，安装ROO v1.4开源蜜网网关软件。

下面通过两个演示过程来展示黛蛇蠕虫所利用的安全漏洞，以及黛蛇蠕虫的实际传播场景。

演示1．通过Metasploit软件攻击黛蛇蠕虫利用的MS05-039安全漏洞

在宿主主机上运行Metasploit软件中的MSFConsole（命令行界面），按照图1-4输入针对MS05-039即插即用服务漏洞的渗透攻击命令和配置参数选择，攻击成功后将获得反向的Shell，对目标主机进行控制。通过蜜网网关，可以监控和分析作为攻击源的宿主主机对目标主机所发起的渗透攻击的全过程。

演示2．黛蛇蠕虫实际传播场景

黛蛇蠕虫实际传播场景演示包括如下步骤。

① 架设FTP服务，提供黛蛇蠕虫样本下载，在演示实例中我们设置的FTP用户和密码为Dasher/mima，黛蛇蠕虫样本为0.exe和1.exe。

② 编写FTP下载样本和执行样本的批处理命令，并使用NetCat工具架设控制命令服务。黛蛇蠕虫实际传播场景使用的Shell命令如图1-5所示，NetCat工具将监听172.31.4.200的53端口，并对连入网络连接提供command.txt中所包含的批处理命令，从FTP下载执行黛蛇蠕虫样本。

③ 在宿主主机上运行作为感染源的黛蛇蠕虫渗透攻击程序，设置攻击目标主机的IP地址及操作系统类型，以及控制命令服务的IP地址和监听端口，实施黛蛇传播攻击，黛蛇蠕虫利用的渗透攻击程序执行过程如图1-6所示。

④ 查看感染目标蜜罐主机的文件系统、任务运行列表和系统状态，可以发现C盘根目录下已被植入黛蛇蠕虫样本，并在任务运行列表中可以发现0.exe、1.exe及进一步释放出的SqlExp*.exe正在运行，而CPU占用快速上升至近90%，黛蛇蠕虫感染目标主机后的系统状态如图1-7所示。

⑤ 通过蜜网网关对黛蛇蠕虫传播过程进行分析，可以从记录的网络连接记录、原始报文记录和Sebek监控的系统行为记录中，了解黛蛇蠕虫的整个传播场景机理和过程。