Detectando Conficker en una red

4 11 2009

El virus Conficker (también llamado Downandup o Kido) es, probablemente uno de los mas activos desde su aparición en Octubre de 2008.Conficker

En este post vamos a analizar cómo detectar equipos infectados con Conficker, en sus diferentes variantes, en una red.

Introducción

Primero, aclarar que este post se dirige exclusivamente a la detección de Conficker, y no a su eliminación. Detectar este virus es complicado debido a que es polimórfico y se guarda a sí mismo de forma cifrada de tal forma que muchos antivirus no consiguen detectarlo.

El virus aprovecha una vulnerabilidad publicada por Microsoft en Octubre de 2008 en el boletín MS08-067 y se corrige mediante la instalación del parche KB958644

Asimismo, Conficker ha sufrido diferentes mutaciones que le permiten infectar a otros equipos no sólo explotando dicha vulnerabilidad, sino a través de dispositivos de almacenamiento USB en equipos que tengan activada la función “autorun” (activada por defecto) usando un archivo autorun.inf que llama al ejecutable malicioso, aprovechando usuarios con password en blanco o débiles, o incluso mediante ataques de fuerza bruta y de diccionario.

Dado que Conficker se esconde bien, en ocasiones y sobretodo si administramos una red relativamente grande, la detección de equipos infectados puede convertirse en un auténtico quebradero de cabeza. Por suerte, existen herramientas que facilitan la labor.

Para más información sobre Conficker, recomiendo leer la entrada de Wikipedia al respecto.

La siguiente ilustración (también de Wikipedia) muestra los diferentes mecanismos de propagación e infección de Conficker:

conficker

Estas herramientas se basan en el excelente trabajo realizado por el grupo especializado en Conficker de la  Universidad de Bonn.

Detectando Conficker en la LAN: herramientas

1-Nmap

La conocida herramienta Nmap permite, desde la versión 4.85, detectar si un equipo o rango de equipos de la red está infectado con Conficker. Puede detectar además, si el equipo dispone del parche KB958644.

Lo primero sería descargar la última versión de Nmap desde su web oficial e instalarlo.

Una vez instalado, bastará con ejecutarlo con los parámetros adecuados que buscan la presencia de Nmap en la IP, red, o rango especificados:

nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns
 --script-args safe=1 192.168.100.0/24

En el ejemplo anterior, lanzaríamos una auditoría en busca de Conficker para la red 192.168.100.0/24.

Una máquina limpia aparecerá como  “Conficker: Likely CLEAN”, mientras que una posiblemente infectada indicará “Conficker: Likely INFECTED

Podríamos añadir al final del comando algo así como “> C:\detecciones.txt” para que nos guarde un archivo de texto con los resultados del escaneo.

Otro ejemplo:

nmap --script smb-check-vulns.nse -p445 <host>
sudo nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 <host>

Salida del comando anterior en caso de que el equipo “host” estuviese infectado:

Host script results:

|  smb-check-vulns:
|  MS08-067: FIXED
|  Conficker: Likely INFECTED
|  regsvc DoS: FIXED
|_ SMBv2 DoS (CVE-2009-3103): VULNERABLE

2- Nessus

Nessus también dispone de un plugin específico para detectar la presencia de Conficker en una red.

Descargar Nessus desde su web oficial, e instalarlo. Nos pedirá registro (gratuito para uso doméstico) para poder descargar todos los plugins disponibles.

Una vez iniciado, en la pestaña Scan indicamos:

– Host/rango/red/subred a escanear

nessus

– Creamos una política específica para que escanee sólo con los plugins de Conficker. Para la creación de la política, tendremos en cuenta:

a) Pestaña “credentials”: añadiremos aquí las credenciales de los equipos a escanear (usuario, contraseña y dominio si procede). No es imprescindible, pero si muy necesario; sin credenciales para que la herramienta inicie sesión en los equipos, podría haber equipos infectados que no fuesen correctamente detectados.

b) Plugin selection: pinchamos en “Find” y escribimos “conficker” en la ventana “name contains…”. Automáticamente seleccionará los dos plugins que detectan Conficker.

c) Advanced:  seleccionar “Global variables settings”  y poner la opción “Log verbosity” en “debug” y “Debug level” en “1” para obtener más información.

Hecho esto, lanzar el análisis. Los resultados aparecerán en el log C:\Program Files\Tenable\Nessus\nessus\logs\nessud.dump  y será algo así como:

conficker_detect.nasl(172.16.127.159): host is clean
 conficker_detect.nasl[29689.24]>DEBUG: conficker_detect.nasl(172.16.127.163): host is INFECTED
 conficker_detect.nasl[29690.24]>DEBUG: conficker_detect.nasl(172.16.127.164): host is clean
 conficker_detect.nasl[29692.24]>DEBUG: conficker_detect.nasl(172.16.127.166): host is clean
 conficker_detect.nasl[29691.24]>DEBUG: conficker_detect.nasl(172.16.127.165): host is clean
 conficker_detect.nasl[29654.22]>DEBUG: conficker_detect.nasl(172.16.127.128): Could not connect to port 445

Más información en este enlace.

3- Foundstone Conficker Detection Tool

Foundstone, empresa de seguridad propiedad de McAfee, especializada en sistemas de auditoría de red, ofrece una herramienta gratuita llamada “Foundstone Conficker Detection Tool” que se puede descargar desde la propia página de la compañía. Conviene decir que sólo detecta las variantes B, C y E del virus.

El uso es sencillo, y no requiere instalación ni credenciales de los equipos a escanear. Ejecutamos la herramienta, indicamos el host o rango a escanear (permite importar un listado de IP’s desde un archivo), y el resto de opciones si queremos (por ejemplo, podríamos indicar que envíe un mensaje a los usuarios de los equipos infectados).

foundstone conficker


Acciones

Information

One response

19 03 2014
´pamcjo

no tengo idea de como usar ninguno D: me descargue el Nmap

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: