simulert virusutbrudd med VBscript eller lignende

[aklla]

jeg har ett lite problem...

jeg skal lage ett simulert virus-angrep på ett lite antall klienter(15-20), men er ikke heeelt sikker på hvordan dette best gjøres.

Jeg har virus-signaturen jeg skal bruke, men har ett lite problem med spredningen.

 

jeg har disse kriteriene å gå ut i fra:

-ikke komplimerte filer, altså .exe og slikt er utelukket.

-ingen installering av programvare

-jeg skal til enhver tid ha FULL kontroll over alt den kan gjøre.

-det er kun spesifikke maskiner viruset skal infisere.

-viruset skal spre seg selv på en eller annen måte.

-ingen hacking av systemet eller noe som gjør at pc`r må reinstalleres.

-ingen/minst mulig spredning fra min bruker, jeg kan sette igang script og slikt, men det er brukeren som er pålogget som skal spre selve viruset.

 

selve viruset er ikke problemet, men spredningen er hva jeg sliter med.

Endret 2. mai 2008 av aklla

[GeirGrusom]

VBScript er kanskje mer egnet en det .bat filer er.

[aklla]

kan bruke VBscript ja, problemet er at jeg langt ifra er stødig på VBScript...

[Zethyr]

Kan du fortelle litt om sårbarheter som skal utnyttes (+ evt litt om virussignaturen) ? Lettere for oss å hjelpe da.

Endret 20. juni 2008 av Zethyr

[aklla]

Kan du fortelle litt om sårbarheter som skal utnyttes (+ evt litt om virussignaturen) ? Lettere for oss å hjelpe da.

 

saken er at det er ingen sårbarheter.

har pr i dag ALDRI vært noe form for virus-utbrudd, utenom det jeg lagde sist.

 

her er signaturen til viruset, lagre det som en kjørbar fil(.bat .exe osv), så får du melding om virus:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

[j000rn]

Dette er kun en signatur, ikke et ekte virus. Det kan ikke gjøre noe selv (smitte andre, etc).

 

Jeg har litt problem med å forstå hvorfor/hvordan du vil teste dette. Selve spredningen er jo forskjellige på alle virus, og den ene (dårlige) måten du klarer å lage selv er jo ganske uinteresant.

 

For å simulere spredning legg dette inn i en batch fil og kjør den:

xcopy c:\virus.exe \\maskin1\c$\temp\virus.exe

xcopy c:\virus.exe \\maskin2\c$\temp\virus.exe

xcopy c:\virus.exe \\maskin3\c$\temp\virus.exe

xcopy c:\virus.exe \\maskin4\c$\temp\virus.exe

...etc

 

Så skal det blinke røde lamper i overvåkningssystemet ditt etterhvert....

Endret 21. juni 2008 av jorn79

[Zethyr]

Det enkleste vil være å skrive inn signaturen i ei .exe-fil som du lagrer på hver av PC'ene, eller på annen måte kopiere det inn slik som jørn foreslår. Men det hele virker litt poengløst å gjøre på noe særlig mer enn 2 PC'er, dersom du ikke skal ha et virus som sprer seg selv.

[aklla]

jorn79: det er det som er problemet, å få det til å spre seg selv.

den signatur-filen er kun for at antivirus-programmet skal kjenne igjen filen som virus, det gjør absolutt ingenting uten å bli gjenkjent som virus,

 

zethyr: problemet er ikke å få det ut, jeg kan spre det ut på noen tusen pc`r uten problemer, og uten å bli stoppet, men det er ikke realistisk og dermed ikke en god test.

det jeg skal ha er ett "virus" som sprer seg selv natturlig innenfor ett begrenset område.

[j000rn]

HVORFOR skal du ha det til å spre seg selv?

Jeg har store problemer med å forstå hvorfor det skal være noen forskjell. Det blir jo akuratt like (u)naturlig om du gjør det via batch som om viruset skulle gjordt det selv.

 

Og som sagt; virus sprer seg på forskjellige måter. Hvilken måte vil du isåfall ha det til å spre seg på?

De fleste sprer seg faktisk når brukeren dobbelklikker på virus'et han får i mailen. Noen sprer seg ved hjelp av svakheter i OS'et/applikasjoner.

 

Fjern kriteriet du har med "naturlig" spredning. Det er bare tull og ikke noe poeng for testen din.

[aklla]

for at de som jobber med antivirus skal få en liten utfordring.

at jeg sitter å pusher ut virus fra min pc stopper dem på minutter

siden slike utbrudd aldri har skjedd, så får dem ikke testet det dem faktisk skal kunne.

poenget er ikke å teste programmene, men personene som jobber med antivirus.

 

jeg har tidligere kjørt en test der jeg pusher ut virus fra 2 pc`r, kjempebra test men i etterkant hørte jeg at antivirus-gruppen ikke fikk nok utfordring av den

 

hvis viruset ikke sprer seg selv vil de bare sperre de pc`ene som sprer dem og testen er over på minutter.

hvis det sprer seg selv får dem en liten utfordring, da jeg skal spre det på kritiske deler av systemet som ikke bør sperres

[j000rn]

Har dere ikke antivirus på maskinene som uskadeligjør viruset den finner?

Et ordentlig virus som smitter gjennom en svakhet i OS'et vil jo bruke 1 sekund på å smitte hele nettverket. Isåfall burde jo de "minuttene" du pratet om for å få stoppet den ene maskinen som du brukte være alt for dårlig.

 

Og hvorfor ikke si ifra til antivirus-avdelingen at de ikke skal sperre DIN pc, men at de får lov å sperre de maskinene de finner virus på? Da får du jo testet akuratt det samme, bare mye enklere. Og igjen; like "naturlig"....

 

 

Dessuten svarte du ikke på spørsmålet i forrige innlegg:

"Og som sagt; virus sprer seg på forskjellige måter. Hvilken måte vil du isåfall ha det til å spre seg på?"

[aklla]

har så klart antivirus på alt, er ekstremt sikkert system(trolig norges sikreste), men det er jo ikke alle virus de tar heller, enkelte virus er jo nærmest umulig å ta knekken på.

dette er jo for å teste hve som skjer når antivirus plutselig ikke takler ett virus som har kommet, trolig kommer aldri noe slik jeg skal teste til å skje, men greit å ha testet det.

 

halve poenget med testen er jo også at ingen vet om det utenom meg og ett par andre, med virkelige virus er det ingen som sier ifra.

da får man også testet rutiner bedre enn hvis man sier ifra.

 

1 sekund på hele nettverket er å ta i, det er STORT nettverk.

hvis jeg kan sitte på min pc å pushe ut virus uten at den blir sperret så er det jo umulig å stoppe det, hvordan skal de stoppe spredningen uten å ta det som sprer det?

 

hvordan viruset skal spre seg har jeg ingen formening om.

 

edit: hvor realistisk testen skal være nytter det ikke å diskutere med, har tatt opp dette med flere på jobb, det er slik det er ønskelig at det blir.

det er også slik det blir mest mulig likt ett faktisk utbrudd.

Endret 21. juni 2008 av aklla

[j000rn]

1 sekund på de 15-20 maskinene du nevnte. Hvis hver av disse klarer å infisere 5 maskiner igjen, som tar 5 maskiner, som tar ... etc så tar det ikke mange minuttene å infisere selv et stooort nettverk.

 

Poenget var at du trenger jo bare å infisere de 15-20 maskinene, fra din PC, så skal alle disse maskinene bli sperret, right? Eller mener du at kun din maskin blir sperret?

 

Om du er domeneadministrator kan denne testen gjøres. Hvis ikke må du først finne et sikkerhetshull som ikke er patcher i nettverket.

 

Uansett syntes jeg denne testen er tullete. Jeg ville syntes det var mye mer interesant å satt opp DOS/"nettverksspam" eller portscanning fra din PC og sett hvor lang tid det tok før dette ble oppdaget.

Endret 21. juni 2008 av jorn79

[Zethyr]

det jeg skal ha er ett "virus" som sprer seg selv natturlig innenfor ett begrenset område.

Du må bestemme deg. Skal det spre seg naturlig må du ha et kompilert virus som utnytter en sårbarhet. Hvis ikke får du sitte og leke at du sprer det selv, vha copy-kommandoer.

 

 

1 sekund på hele nettverket er å ta i, det er STORT nettverk.

En exploit mot IIS fikk et virus imot seg som gikk på UDP og som passet inn på 350 byte (altså kun 1 pakke... UDP = ikke noe connection setup). Det infiserte 90% av verdens sårbare IIS-hosts på 10 min. Og husk at da går det på internett, ikke lokalnett + at det må prøve seg frem for å finne hostene

 

Dvs. at ca. 5 sek er realistisk selv på et "stort" nettverk etter norsk skala, selv for et vanlig virus (hvis det sprer seg via riktige kanaler).

[aklla]

er ikke jeg som har bestemt hva som skal testes...

testing av port-scanning og slikt er det ikke jeg som tar, dette blir også testet, men det er ikke antivirus som tar dette da port-scanning ikke er virus.

 

jeg kan så klart sette i gang en infeksjon, men problemet er jo spredningen etter at jeg har tatt 10-15 maskiner, men det er stopping av spredning det går på.

altså skal "viruset" spre seg til antivirus-gruppa klarer å fjerne og stoppe denne.

å infisere 100 pc`r er ikke vanskelig, men som jeg har sagt før, "viruset" skal spre seg selv, kun på den måten vil testen bli så god som det er ønsket.

klart, jeg kan legge virus i logon-script, rulle ut via SMS osv, så det er ikke noe problem å få ut viruset, men å få det til å spre seg selv er problemet.

 

poenget med testen er verken å infisere flest mulig eller fortest mulig, men så REALISTISK som mulig.

altså, jeg kan kjøre ett script som infiserer 15 maskiner, men hva gjør det?

jo, 15 maskiner blir infisert, antivirusen tar dette selv, ferdig.

antivirus-folka trenger ikke gjøre noe som helst med dette, programmet tar seg av det selv.

sist test jeg tok hadde jeg ett script kjørende på 2 makiner som infiserte tilfeldige maskiner, det tok ikke lang tid før dem fant ut hvor virusene kom fra og sperret denne.

dette gjorde at man fant en del feil og mulighet for forbedirnger i rutiner og slikt.

neste test bør jo være vanskeligere og værre å stoppe en 2 maskiner med ett script sm kjører.

 

jeg er så klart domeneadministrator

 

edit:

Zethyr: jeg ønsker automatisk "natturlig" spreding på spesifiserte maskiner.

det er ett krav at KUN(!!) de spesifiserte maskinene blir infisert.

dette er ett lukket nett, ingen tilgang til internett

 

ser ut til at et kanskje bli vanskelig....

Endret 21. juni 2008 av aklla

[j000rn]

*gir opp*

 

 

Lykke til

[aklla]

hehe, er ikke jeg som stiller krav til det, jeg får kravet fra han som har bestilllt det, så jeg kan ikke endre så mye på hvordan viruset skal oppføre seg.

 

ser ut til at det blir den samme testen som forrige gang, bare litt mer skjult og vanskeligere å finne ut av.

[GeirGrusom]

Det mest naturlige er vel et ordentlig virus, å sitte å simulere virus med scripting er vel ikke helt optimalt.

 

Du får nok sette deg ned med en assembler, en hex editor og intel instruction set reference

Endret 22. juni 2008 av GeirGrusom

[Zethyr]

poenget med testen er verken å infisere flest mulig eller fortest mulig, men så REALISTISK som mulig.

Da må du bruke et ekte virus, ikke kjøre et script fra en sentralisert maskin. Anbefaler at du sniker deg inn på de aktuelle PC'ene og installerer en gammel sårbar programvare (helst en server/daemon som kjører kontinuerlig, så det vil spre seg uten at brukeren faktisk må starte programmet) og så slipper løs et virus som bruker dette hullet. Da vil det ikke spre seg til PC'er som ikke har den sårbare programvaren inn. Hvis du ikke har en destruktiv payload vil du kunne fjerne virusene i etterkant ved å fjerne det på de PC'ene som har den aktuelle sårbarheten.

 

Du får nok sette deg ned med en assembler, en hex editor og intel instruction set reference

Finner lett kildekode til mange tusen virus på nett, både i ASM og C. Men vi får vel ikke lov av en overbeskyttende moderator-stab å hjelpe han med en url.

[backup]

Med ditt forehavende vil jeg tro det ikke kan skade å ta en titt på den gode gamle Network.vbs orma, fordi den spredde seg selv gjennom shared drives på computer nettverk som LAN. Ormas kode kan man få tak i med googling.