ARP Spoofing HTTP infection malware
Trang 1 trong tổng số 1 trang
ARP Spoofing HTTP infection malware
admin 7/4/2010, 4:12 pm
Website Websense vừa mới công bố một loại virus mới ARP Spoofing
Thuật ngữ ARP Spoofing muốn nói đến việc giả mạo ARP để thực hiện một số ý đồ,chẳng hạn sniff packet,hoặc tấn công Man in the middle
Bài viết sẽ chỉ xét trong môi trường mạng LAN
Đầu tiên,virus này sẽ thay đổi MAC address của Gateway thành MAC của máy có chứa mã độc.Hình dưới đây là MAC thật của Gateway
Khi virus ARP Spoofing dc thực thi,MAC của Gateway sẽ bị thay đổi thành MAC của máy chứa mã độc.Các bạn xem sơ đồ dưới đây
Hình tiếp theo là sơ đồ của một mạng LAN ,cũng như đường đi của mã độc.
(Đây là sơ đồ dc vẽ bằng phần mềm Microsoft Visio ,3 máy tính kết nối vào HUB --> Gateway .Gateway ra Internet bằng 1 trình duyệt ,tới Webserver )
Đầu tiên ,máy tính nhiễm virus sẽ broadcast đến các máy còn lại và thông báo rằng "Tôi chính là Gateway" .Đây là một thông báo giả mạo.
Tiếp theo ,sau khi nhận dc các gói broadcast thông báo như thế,các máy tính còn lại sẽ "tin" và cập nhật ARP table.Lúc này ARP cache đã có mã độc.
Tiếp theo,các máy sẽ truy cập Internet thông qua máy đã nhiễm virus.Như các bạn đã biết khi kết nối Internet thì bạn gõ URL vào trình duyệt,lúc này trình duyệt sẽ gửi đến webserver một HTTP header hay còn gọi là HTTP get request yêu cầu web server gửi trang chủ đến trình duyệt.Sau khi xác nhận webserver sẽ gửi về 1 HTTP Reply hay có thể gọi là HTTP response.Nếu bạn muốn nghiên cứu thêm hãy đọc ICND1 Part 1 phần The TCP/IP Protocol Architecture .
Quay lại cơ chế,máy nhiễm virus sẽ gửi về Gateway gói HTTP (lưu ý là máy nhiễm virus sử dụng Net driver,gồm các tập tin wpcap.dll hay Wanpacket.dll để gửi và nhận data Internet.)
Cuối cùng,Gateway vô tình chèn các gói HTTP response nhiễm mã độc về các máy tính .
Hình dưới là đoạn code có chèn mã độc
Như các bạn thấy con số 10.x.x58 chính là IP của máy nhiễm virus.
Hãy xem code virus sử dụng các hàm nào
Trong đoạn code trên, các vi rút cuộc gọi một hệ thống tập tin dll (iphlpapi.dll) để có được thông tin chung về các adapter mạng nội bộ. Các file iphlpapi.dll là một module có chứa các chức năng được sử dụng bởi các IP Helper Windows API. Khi virus được adapter mạng thông tin địa phương, các vi-rút có thể làm cho gói tin giả mạo ARP. Các đồ họa sau đây cho thấy chi tiết code:
Nếu mạng nội bộ của bạn có virus giả mạo ARP, và nếu bạn cố gắng truy cập bất kỳ trang Web, các máy tính giả mạo ARP sẽ gửi một phản ứng độc hại. Nếu virus giả mạo ARP là trong một subnet của nhóm máy chủ WWW, bất kỳ phản ứng HTTP từ subnet này sẽ được độc hại. Nếu các mạng lưới địa phương có virus giả mạo ARP, khi bạn mở bất kỳ trang web, trang web sẽ trông giống như các hình ảnh sau đây
Nếu một virus giả mạo ARP chất độc mạng của bạn, bạn có thể sử dụng Ethereal để bắt hình lưu lượng mạng. Nếu một địa chỉ IP gửi gói tin ARP phát sóng liên tục, sau đó là địa chỉ IP đáng ngờ. Bạn có thể sử dụng lệnh "arp-a" để xem xét mà Gateway địa chỉ MAC đang được sử dụng. Xác nhận cho dù nó là một địa chỉ thực MAC Gateway hay không. Nếu nó không phải là một địa chỉ thực MAC Gateway, sau đó bạn có thể chắc chắn rằng bạn có một virus giả mạo ARP trong mạng của bạn. Bạn có thể sử dụng các Gateway giả địa chỉ MAC để tìm ra đó là máy bị nhiễm độc được. Websense Security bảo vệ khỏi các mối đe dọa khách hàng như vậy bởi vì chúng tôi lọc nội dung độc hại đến tiêm từ máy tính để bàn, ngay cả khi virus giả mạo ARP tồn tại bên trong của mạng con của bạn.
Thuật ngữ ARP Spoofing muốn nói đến việc giả mạo ARP để thực hiện một số ý đồ,chẳng hạn sniff packet,hoặc tấn công Man in the middle
Bài viết sẽ chỉ xét trong môi trường mạng LAN
Đầu tiên,virus này sẽ thay đổi MAC address của Gateway thành MAC của máy có chứa mã độc.Hình dưới đây là MAC thật của Gateway
Khi virus ARP Spoofing dc thực thi,MAC của Gateway sẽ bị thay đổi thành MAC của máy chứa mã độc.Các bạn xem sơ đồ dưới đây
Hình tiếp theo là sơ đồ của một mạng LAN ,cũng như đường đi của mã độc.
(Đây là sơ đồ dc vẽ bằng phần mềm Microsoft Visio ,3 máy tính kết nối vào HUB --> Gateway .Gateway ra Internet bằng 1 trình duyệt ,tới Webserver )
Đầu tiên ,máy tính nhiễm virus sẽ broadcast đến các máy còn lại và thông báo rằng "Tôi chính là Gateway" .Đây là một thông báo giả mạo.
Tiếp theo ,sau khi nhận dc các gói broadcast thông báo như thế,các máy tính còn lại sẽ "tin" và cập nhật ARP table.Lúc này ARP cache đã có mã độc.
Tiếp theo,các máy sẽ truy cập Internet thông qua máy đã nhiễm virus.Như các bạn đã biết khi kết nối Internet thì bạn gõ URL vào trình duyệt,lúc này trình duyệt sẽ gửi đến webserver một HTTP header hay còn gọi là HTTP get request yêu cầu web server gửi trang chủ đến trình duyệt.Sau khi xác nhận webserver sẽ gửi về 1 HTTP Reply hay có thể gọi là HTTP response.Nếu bạn muốn nghiên cứu thêm hãy đọc ICND1 Part 1 phần The TCP/IP Protocol Architecture .
Quay lại cơ chế,máy nhiễm virus sẽ gửi về Gateway gói HTTP (lưu ý là máy nhiễm virus sử dụng Net driver,gồm các tập tin wpcap.dll hay Wanpacket.dll để gửi và nhận data Internet.)
Cuối cùng,Gateway vô tình chèn các gói HTTP response nhiễm mã độc về các máy tính .
Hình dưới là đoạn code có chèn mã độc
Như các bạn thấy con số 10.x.x58 chính là IP của máy nhiễm virus.
Hãy xem code virus sử dụng các hàm nào
Trong đoạn code trên, các vi rút cuộc gọi một hệ thống tập tin dll (iphlpapi.dll) để có được thông tin chung về các adapter mạng nội bộ. Các file iphlpapi.dll là một module có chứa các chức năng được sử dụng bởi các IP Helper Windows API. Khi virus được adapter mạng thông tin địa phương, các vi-rút có thể làm cho gói tin giả mạo ARP. Các đồ họa sau đây cho thấy chi tiết code:
Nếu mạng nội bộ của bạn có virus giả mạo ARP, và nếu bạn cố gắng truy cập bất kỳ trang Web, các máy tính giả mạo ARP sẽ gửi một phản ứng độc hại. Nếu virus giả mạo ARP là trong một subnet của nhóm máy chủ WWW, bất kỳ phản ứng HTTP từ subnet này sẽ được độc hại. Nếu các mạng lưới địa phương có virus giả mạo ARP, khi bạn mở bất kỳ trang web, trang web sẽ trông giống như các hình ảnh sau đây
Nếu một virus giả mạo ARP chất độc mạng của bạn, bạn có thể sử dụng Ethereal để bắt hình lưu lượng mạng. Nếu một địa chỉ IP gửi gói tin ARP phát sóng liên tục, sau đó là địa chỉ IP đáng ngờ. Bạn có thể sử dụng lệnh "arp-a" để xem xét mà Gateway địa chỉ MAC đang được sử dụng. Xác nhận cho dù nó là một địa chỉ thực MAC Gateway hay không. Nếu nó không phải là một địa chỉ thực MAC Gateway, sau đó bạn có thể chắc chắn rằng bạn có một virus giả mạo ARP trong mạng của bạn. Bạn có thể sử dụng các Gateway giả địa chỉ MAC để tìm ra đó là máy bị nhiễm độc được. Websense Security bảo vệ khỏi các mối đe dọa khách hàng như vậy bởi vì chúng tôi lọc nội dung độc hại đến tiêm từ máy tính để bàn, ngay cả khi virus giả mạo ARP tồn tại bên trong của mạng con của bạn.
admin- Thiếu Úy III
- Tổng số bài gửi : 627
Diem : 6557
Thank : 4
Join date : 24/03/2010
Đến từ : Bỉm Sơn - Thanh hóa -
Similar topics» Thiết kế đối chiếu Malware (phần 2)
» Thiết kế đối chiếu Malware (phần 3)
» Thiết kế đối chiếu Malware (Phần 4)
» Video xâm nhập http://thanhnhon.edu.vn
» Thiết kế đối chiếu Malware (phần 1)
» Thiết kế đối chiếu Malware (phần 3)
» Thiết kế đối chiếu Malware (Phần 4)
» Video xâm nhập http://thanhnhon.edu.vn
» Thiết kế đối chiếu Malware (phần 1)
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết
» Quản Lí Tiến Trình Dùng Thư Viện PSAPI
» xin tai lieu tieng viet
» Theo dõi tiến trình
» Giải pháp Bảo mật của Cisco
» Nghiên cứu và đưa ra giải pháp phòng chống tấn công DoS, DDoS (Phần 1)
» Learn to hack !
» Giải pháp hệ thống dành cho doanh nghiệp với thiết bị mạng Fortinet (Phần 1)
» Ô Long Viên (Tập II)
» những ebook về hack tiếng việt cho người mới tìm hiểu.