Trao đổi với tôi

http://www.buidao.com

8/6/09

[Virus] ARP Spoofing HTTP infection malware

Link: http://uitstudent.com/forum/showthread.php?t=8455

Website Websense vừa mới công bố một loại virus mới ARP Spoofing
Thuật ngữ ARP Spoofing muốn nói đến việc giả mạo ARP để thực hiện một số ý đồ,chẳng hạn sniff packet,hoặc tấn công Man in the middle

Bài viết sẽ chỉ xét trong môi trường mạng LAN

Đầu tiên,virus này sẽ thay đổi MAC address của Gateway thành MAC của máy có chứa mã độc.Hình dưới đây là MAC thật của Gateway

Khi virus ARP Spoofing dc thực thi,MAC của Gateway sẽ bị thay đổi thành MAC của máy chứa mã độc.Các bạn xem sơ đồ dưới đây

Hình tiếp theo là sơ đồ của một mạng LAN ,cũng như đường đi của mã độc.

(Đây là sơ đồ dc vẽ bằng phần mềm Microsoft Visio ,3 máy tính kết nối vào HUB --> Gateway .Gateway ra Internet bằng 1 trình duyệt ,tới Webserver )

Đầu tiên ,máy tính nhiễm virus sẽ broadcast đến các máy còn lại và thông báo rằng "Tôi chính là Gateway" .Đây là một thông báo giả mạo.

Tiếp theo ,sau khi nhận dc các gói broadcast thông báo như thế,các máy tính còn lại sẽ "tin" và cập nhật ARP table.Lúc này ARP cache đã có mã độc.

Tiếp theo,các máy sẽ truy cập Internet thông qua máy đã nhiễm virus.Như các bạn đã biết khi kết nối Internet thì bạn gõ URL vào trình duyệt,lúc này trình duyệt sẽ gửi đến webserver một HTTP header hay còn gọi là HTTP get request yêu cầu web server gửi trang chủ đến trình duyệt.Sau khi xác nhận webserver sẽ gửi về 1 HTTP Reply hay có thể gọi là HTTP response.Nếu bạn muốn nghiên cứu thêm hãy đọc ICND1 Part 1 phần The TCP/IP Protocol Architecture .
Quay lại cơ chế,máy nhiễm virus sẽ gửi về Gateway gói HTTP (lưu ý là máy nhiễm virus sử dụng Net driver,gồm các tập tin wpcap.dll hay Wanpacket.dll để gửi và nhận data Internet.)

Cuối cùng,Gateway vô tình chèn các gói HTTP response nhiễm mã độc về các máy tính .

Hình dưới là đoạn code có chèn mã độc
Như các bạn thấy con số 10.x.x58 chính là IP của máy nhiễm virus.

Hãy xem code virus sử dụng các hàm nào


In the code above, the virus calls a system dll file (iphlpapi.dll) to get general information about the local network adapter. The iphlpapi.dll file is a module containing the functions used by the Windows IP Helper API. When the virus gets the local network adapter information, the virus can make spoofing ARP packet. The following graphic shows detailed code:
(Phần này dành cho mấy coder bình luận )










If your local network has the ARP spoofing virus, and if you attempt to access any Web page, the ARP spoofing machine will send a malicious response. If the ARP spoofing virus is in a subnet of the WWW server group, any HTTP response from this subnet will be malicious. If the local network has an ARP spoofing virus, when you open any Web page, the Web page will look something like the following picture:




If an ARP spoofing virus poisons your network, you can use Ethereal to capture network traffic. If one IP address sends ARP broadcast packets continuously, then that IP address is suspicious. You can use the command "arp -a" to review which Gateway MAC address is being used. Confirm whether it is a real Gateway MAC address or not.


If it is not a real Gateway MAC address, then you can be certain that you have an ARP spoofing virus in your network. You can use the false Gateway MAC address to find out which is the poisoned machine.


Websense Security customers are protected from such threats because we filter the injected malicious content from reaching the desktop, even if the ARP spoofing virus exists inside of your subnet.


Nguồn :http://securitylabs.websense.com/con...logs/2885.aspx

Rãnh k có gì làm ngồi nghiên cứu chơi... .Bài trên dịch sơ sơ,còn phần WinPcap là cái quái j thì chưa xem.....Ai rảnh ngồi xem rùi phân tích cho bà con với