12.5.09

Nmap vs Conficker??

Creo q a esta altura ya todos habran oido hablar d Conficker, el gusano d moda en la red… xD. La principal via d propagacion del mismo es la vulnerabilidad MS08-067 q c soluciona con el parche KB958644 que se puede descargar como siempre desde la pagina de Microsoft:

http://www.microsoft.com/downloads/en/results.aspx?pocId=&freetext=KB958644&DisplayLang=en

... aunque tambien esta presente la propagacion x usb y algun otro metodo, el parche es el 1er paso para evitar la reproducción del gusano en la red. En 1 equipo hogareño la desinfección es bastante facil, pero en 1 red corporativa la cosa c complica 1 poco mas.

No voy a entrar demasiado en detalle sobre la accion del Conficker ya q abunda info y no es el tema central, pero si dar algunos consejos para ayudar a limpiar la red infectada. Las acciones pueden llevar desde la mas extrema, q es poner en cuarentena la red y limpiar estaciones d trabajo y servers, hasta metodos mas sutiles, q llevan mas tiempo pero no comprenden paralizar completamente la red. Hay q tener en cuenta q no siempre es posible paralizar 1 empresa aunque sea 1 solo dia...

En el 1er caso, la desconexion d las pcs d la red impide la reinfeccion y el tema seria bastante facil. Desinfectar con cualquiera d las herramientas gratuitas d av q andan x internet, aplicar parche y x las dudas scannear otra vez hasta limpiar el total d las maquinas.

La 2da opcion queda a criterio d quien este encargado d la red ya q según su extensión podria llevar varios dias. El 1er paso como siempre es parchar las pcs, q x otro lado ya deberian estar hace rato xq la actualizacion c libero en octubre d 2008, y ahí justamente tenemos el 1er punto para resaltar.

Es normal q 1 user hogareño no tenga sus pcs actualizadas al dia pero es casi imperdonable q 1 red corporativa no tenga 1 actualizacion d hace 6 meses, tal vez esto ayude a q los admins no sean tan negligentes con estas cosas y den mas importancia a las actualizaciones. D este punto c agarra Microsoft para lavarse las manos del asunto... “yo saque mi actualizacion... vos no la bajaste... tu culpa” xD

Otro punto q ayuda a parar la infeccion es cerrar el puerto 445 en las pcs. Este puerto c encarga del directory service (Microsoft-ds) y es el q usa el gusano. Esto puede hacerse x regla del mismo firewall d win o tal vez x el mismo antivirus si tiene opcion d blockeo d puertos. Desde la controla central c puede agregar la politica a los clientes y cerrar rapidamente esa via d infeccion.

Tambien podemos deshabilitarlo borrando el siguiente valor del registro:

HKLM\System\CurrentControlSet\Services\NetBT\Parameters\TransportBindName


Despues d esto, como en el caso anterior limpiar el sistema con alguna utilidad y x supuesto actualizar el av local q probablemente no lo estaba haciendo.

Otra consecuencia del virus es q si existe en la red 1 politica d blockeo d passwords en X intentos fallidos, muchas d las cuentas apareceran blockeadas constantemente ya que trata de crackear x medio d fuerza bruta passwords del sistema para seguir la propagacion.

La versión C entre otras “mejoras” instala 1 falso parche 958644 q aparenta ser el d Microsoft y d hecho repara la vulnerabilidad pero contiene 1 backdoor para futuras reinfecciones, x lo cual podriamos pensar q 1 maquina esta limpia y parchada cuando no lo esta realmente...



Nmap

A partir d la versión 4.85b5 nmap puede detectar remotamente maquinas infectadas, lo cual facilita muchisimo el trabajo, ya q x lo gral las consolas d av son demasiado lentas y generar 1 informe para cientos d maquinas para tener 1 panorama claro lleva tiempo, ademas del proceso d comunicación entre el cliente y el servidor, y las molestias en la red q ocasiona el gusano.

Con nmap en unos pocos mins tenemos los resultados bastante claros en 1 scan completo d la red. El comando para scannear buscando Conficker seria el siguiente:

nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [rango ip]

el resultado en 1 cliente limpio seria “Conficker: Likely CLEAN” y en 1 infletado “Conficker: Likely INFECTED”. Ademas de mostrar el estado d los puertos 139 y 445.

Algo todavía mas interesante es scannear tambien en busca del parche. Lo cual hacemos cambiando el ultimo modificador x unsafe:

nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args unsafe=1 [rango ip]

en 1 pc parchada el resultado seria “MS08-067: FIXED”, y en 1 q no lo esta “MS08-067: VULNERABLE”.

Pero eso no es todo, ya q cabe tambien la posibilidad d q el parche sea el generado x el gusano y esto tambien es posible verlo en el scanneo. El resultado seria “MS08-067: PATCHED (possibly by Conficker)”. En este caso el parche es falso. Hay q desinstalarlo, scannear e instalar el verdadero.

A pesar d q mucha gente d IT mira despectivamente al nmap como 1 herramienta d “hackers” creo q no hay forma mas rapida d tener 1 informe claro del grado d infección y x lo tanto erradicarla lo mas rapido posible.

Descarga d nmap:

http://nmap.org/download.html

no tengan miedo... usenlo!!! xD

2 comentarios:

SERVTEC dijo...

Hola, me parecio muy buena info, lo voy a probar y te comento. Salu2

SERVTEC dijo...

Hacia rato que no usaba el nmap, corriendo en el Cygwin funciona de maravillas...