Como detectar Conficker (Kido o Dunadump) en una red local

Básicamente, este virus trata de distribuirse utilizando el puerto 445  predeterminada de Windows, pero aparte de eso Conficker también utiliza  puertos desde el  1024   hasta  10000 para propagarse por la red.

Con  algunas de las herramientas existentes, Vaksincom ha empleado los programas mas habituales del mundo del análisis de redes locales y alguna herramienta especifica de  proveedores de seguridad para ayudar a facilitar la detección de ataques de Conficker en una red.

Las herramientas para la detección de  Conficker  en redes  LAN podrían ser:

1. Wireshark

Wireshark / Ethereal es una de las muchas herramientas del analizador de redes es usado por muchos administradores de red para analizar el rendimiento de la red y también las herramientas son Vaksinis (ingenieros Vaksincom). Wireshark prefería porque interfacenya gráficos el uso interfaz gráfica de usuario (GUI) o la pantalla.

Wireshark es capaz de capturar los paquetes de datos / berseliweran información en una red que “Intip”. Todo tipo de información de los paquetes en el protocolo de varios formatos serán fácilmente capturados y analizados. Las herramientas están disponibles en diferentes versiones del sistema operativo, como Windows, Linux, Macintosh, etc.

Al comienzo de la aparición y el desarrollo de Conficker, esta herramienta es un “pionero” herramientas utilizadas por algunos proveedores de seguridad para analizar los paquetes de datos e información en la red de los ataques de Conficker. Puede descargar Wireshark en la dirección http://www.wireshark.org/download.html.

En el momento de la instalación, tenga en cuenta para activar e instalar el plugin MATE (motor de rastreo meta análisis ), porque no se activa de forma predeterminada. Este plugin puede funcionar para filtrar todos los paquetes de datos de los distintos protocolos en la red. Además, en el proceso también incluyó la instalación de WinPcap. Realizar la instalación de WinPcap, WinPcap es un controlador que se utiliza para leer y filtrar los datos de tráfico mem-paquete / información a través de.

Es fácil de usar, al ejecutar Wireshark, sólo tienes que seleccionar la ficha de captura y luego seleccione la lista de interfaces. En las opciones de captura de interfaces, seleccione la red adecuada con LAN / tarjeta de red Ethernet y luego hacer clic en el botón de inicio. Wireshark también tiene la capacidad para buscar cosas por ordenador segmento.

Para la detección de Conficker, se filtro el NBNS protocolo (NetBIOS Name Service) y anote la información proporcionada, por lo general va a leer el equipo host NBNS pero si el nombre de host NBNS leer que un ordenador en este caso es el dituju dominio de dominio por Conficker, el IP de origen es el equipo infectado y tratar de distribuir y actualizar sí mismo.

2. Nmap

Nmap (mapeador de redes) es una de las herramientas de la red de exploración, y exclusivamente en uno de los utilizados por los administradores de red. Con Nmap podemos hacer para buscar toda la red y descubrir lo que el servicio está activo en un puerto específico.

Nmap es una de las muchas herramientas que utilizan para realizar herramienta de escaneado en red, y es conocido por ser un multi-plataforma, rápido y ligero. Nmap se ejecuta en todos los tipos de sistemas operativos, tanto gráficos y modo de consola. Más terrible, no como Ethereal, Nmap también realizar análisis de seguridad de hendidura en el MS08-067 en la explotación por Conficker para que los administradores pueden ayudar a determinar cualquier equipo que aún tiene una hendidura que la seguridad puede ser explotado por Conficker.

Además, Nmap también tiene una ventaja que un administrador de red puede crear gran caída en el amor, se puede realizar entre segmentos de exploración equipo.

Contra el surgimiento y desarrollo de Conficker, el código fuente de Nmap con la ayuda de Tillman y Werner Felix Leder El Honeynet Project ha lanzado una nueva versión con la detección de características adicionales de la computadora infectada Conficker. Puede descargar la última versión de la http://nmap.org/download.html dirección.

Nmap proceso de instalación es fácil, así como Wireshark, Nmap también llevan a cabo la instalación de WinPcap (si no está ya instalado). Si ha instalado WinPcap, el error se produce, y el proceso de instalación de WinPcap debe perder.

Para utilizar, ya sea por consola o el modo de interfaz gráfica de usuario, que siguen utilizando el comando. El uso de comandos para detectar Conficker hay diferentes  maneras:

sudo nmap -sC –script=smb-check-vulns –script-args=safe=1 -p445 \
-d -PN -n -T4  –min-hostgroup 256 –min-parallelism 64 \
-oA conficker_scan <your network(s) here>

Argumentos para Nmap

realip: An IP address to use in place of the one known by Nmap.

checkall: Si vale 1 intenta comunicar con todos los puertos abiertos.

checkconficker: Si vale  1 o true,  el script se ejecutará en los hosts activos , it doesn’t matter if any open ports were detected.

randomseed, smbbasic, smbport, smbsign: See the documentation for the smb library.

smbdomain, smbhash, smbnoguest, smbpassword, smbtype, smbusername: See the documentation for the smbauth library.

Ejemplos de uso:s

# Run the scripts against host(s) that appear to be Windows
nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args=safe=1 -T4 -vv -p445 <host>
sudo nmap -sU -sS --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args=safe=1 -vv -T4 -p U:137,T:139  192.168.1.1/24
(example with IP network 192.168.1 ....)
# Ejecuta los scripts contra  todos los ordenadores activos (recomendada)
nmap -p139,445 -vv --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args=checkconficker=1,safe=1 -T4 <host>
<hosts> sustituirlo por 192.168.1.1/24    por ejemplo o las direcciones que se empleen en la red

# Run scripts against all 65535 ports (slow)
nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args=checkall=1,safe=1 -vv -T4 <host>

# Base checks on a different ip address (NATed)
nmap --script p2p-conficker,smb-os-discovery -p445 --script-args=realip=\"192.168.1.65\" -vv -T4 <host>

# How to Scan verylarge networks for Conficker

sudo nmap -sC --script=smb-check-vulns --script-args=safe=1 -p445 \
 -d -PN -n -T4  --min-hostgroup 256 --min-parallelism 64 \
 -oA conficker_scan <your network(s)here> 
(<your network(s)here> = 192.168.0  for example)

Salida de los Scripts

Clean machine (results printed only if extra verbosity ("-vv")is specified):
Host script results:
|  p2p-conficker: Checking for Conficker.C or higher...
|  | Check 1 (port 44329/tcp): CLEAN (Couldn't connect)
|  | Check 2 (port 33824/tcp): CLEAN (Couldn't connect)
|  | Check 3 (port 31380/udp): CLEAN (Failed to receive data)
|  | Check 4 (port 52600/udp): CLEAN (Failed to receive data)
|_ |_ 0/4 checks: Host is CLEAN or ports are blocked

Infected machine (results always printed):
Host script results:
|  p2p-conficker: Checking for Conficker.C or higher...
|  | Check 1 (port 18707/tcp): INFECTED (Received valid data)
|  | Check 2 (port 65273/tcp): INFECTED (Received valid data)
|  | Check 3 (port 11722/udp): INFECTED (Received valid data)
|  | Check 4 (port 12690/udp): INFECTED (Received valid data)
|_ |_ 4/4 checks: Host is likely INFECTED

3. Retina Network Security Scanner (Conficker Worm)

Although it was too late and was launched towards the 1 April 2009, as one of the computer security vendor, eEye Digital Security also launched a special and free tools to detect the presence Conficker in the network. Tools is designed to detect the existence and detects Conficker Vulnerability slit windows security from Windows Server Service (MS08-067 patch). You can download this tool at the address http://www.eeye.com/html/downloads/other/ConfickerScanner.html.

The installation is very easy and fast, you simply run the installation file that followed the next commands to complete.

For general users, tools Retina from Eeye relatively easier than Nmap and Wireshark, when you run this tool you can directly select the desired target both with single IP and IP range. If you have, you can click the scan button.

If you have completed will display a message box alert is completed. Results of the scan there are 4 categories, namely:

* Not Tested (usually due to a closed port 445 / disable, so can not scan)
* Infected (infected computers detected Conficker)
* Patched (the computer is clean and in patch MS08-067)
* Vulnerable (net computer, but not in the patch, infected vulnerable Conficker)

Unfortunately this tool only to ports 139 and 445, so it is very difficult if the infected computer does not enable the port (File and Printer Sharing). In addition, the Retina scanning can not do inter-segment and does not monitor the port in 1024 – 10,000 in the exploitation by Conficker.

4. SCS (Simple Conficker Scanner)

Simple and sophisticated tools made Tillman Werner and Felix Leder’s The Honeynet Project, which was launched at the beginning by many Vaksincom used to detect the IP – IP ISP Indonesia infected Conficker this leads some to become a vendor to create similar tools.

They make tools conficker network scanner from the Python language and its source code is freely published. Recorded several vendors such as Nmap, eEye and Foundstone use the source code and compile the plugin and made tools each vendor to be used to detect conficker.

Tools can be downloaded at this address http://www.4shared.com/get/95921961/d7727fab/scs.html.

SCS does not need to install, you only need to akstrak on the folder / drive that you specify only. SCS but to run you need to install Nmap. This is because the SCS driver package requires the monitoring data.

To use, use the SCS console mode or command prompt. At the command prompt mode, switch to the SCS folder and type the following command:

* “SCS [IP_Awal] [End IP]”, for example: C: \ SCS> SCS 192.168.1.1 192.168.1.255

Lo mismo que  Retina, SCS solo lee los puertos 139 y 445, lo que las limita bastante.

5. Conficker Detection Tool (MCDT)

A través de una de sus divisiones, a saber, Foundstone, McAfee creó  una de las herramientas lanzadas para detectar la existencia enla red de Conficker. Herramientas que también utilizan Tillman y Werner Felix Leder del proyecto  The Honeynet Project, un equipo de desarrollo de Foundstone diseñado para detectar la presencia de Conficker en un equipo infectado, y se ha publicado de forma gratuita.

Se puede descargar en la dirección:   www.mcafee.com

No es necesario instalarla, sólo tiene que extraerse en el directorio / unidad que se especifica. Parece muy rápida pero no se si será eficaz al 100%.

Para utilizar también es fácil, cuando se ejecuta esta herramienta puede seleccionar directamente el rango deseado. Incluso usted puede hacer análisis si hay algún segmento de su equipo en la red, esta no se encuentra en la retina.

Pero lamentablemente esta herramienta no realiza controles de seguridad en la brecha MS08-067 explotar en el Conficker como Nmap y Retina . A diferencia de  Retina, estas herramientas tienen tres categorías para saber los resultados del análisis:

  • Infectados (Conficker equipo infectado)
  • No infectados (o no para limpiar un equipo infectado)
  • No se ha probado (por lo general debido a un puerto cerrado 445 / desactivar, por lo que no se pueden escanear)

Igual que Retina y SCS, esta herramienta se lee solamente los puertos 139 y 445 (Archivo Compartir impresoras) y controlan  el rango de puertos 1024 – 10.000 en la exploración del Conficker.

Comparación de los resultados …..

De los resultados de las pruebas realizadas por el laboratorio Vaksincom, se deduce que no hay una  herramienta perfecta. Cada una tiene unas ventajas.

Nmap incluso cuenta con el escaner más completo, pero tiene la debilidad de que es en modo comando y una  menor velocidad de exploración de las otras herramientas.  (podemos ejecutar Zenmap en Windows en modo gráfico )

Mientras que las herramientas MCDT es muy simple y sin instalación, realiza una exploración bastante rápida (no se especifica si analiza el puerto 445 que usa Conficker a veces)

fuente: http://nenoney.blogspot.com

Esta entrada fue publicada en Sistemas Operativos, Windows 7, Windows Vista. Guarda el enlace permanente.

Una respuesta a Como detectar Conficker (Kido o Dunadump) en una red local

  1. Luis dijo:

    Te rayaste señor! me sirvió bastante la información! saludos y gracias!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s