Conficker, come cercare l’untore nella propria rete
february 2010 by abeggi
Cercare un virus insidioso e veramente stronzo come Conficker in una rete con decine e decine di client può essere una impresa. Un lavoro estenuante e che talvolta sembra riemergere con improvvise fiammate di attacchi. Potrebbe sembrare tardivo questo post, ma parlando con alcuni colleghi ho notato che quello che vado ad illustrarvi non era un sistema conosciuto ai più.
Per andare a cercare nella propria rete l’impronta di Conficker potete usare NMAP, una utility gratuita per esplorare la propria rete.
Grazie alla ricerca di Tillmann Werner e Felix Leder che fanno parte del Honeynet Project e alla implementazione di Ron Bowes, David Fifield, Brandon Enright, and Fyodor, è stata creata, ormai un anno fa, una release di Nmap release che permette di controllare la vostra rete e individuare le macchine infette.
E’ sufficiente inserire nella linea di comando di NMAP il codice sottostante per ottenere una lista di computer che alla voce “Conficker” riporteranno lo stato riscontrato, “Conficker: Likely CLEAN” o spero pochi per voi, “Conficker: likely INFECTED”.
nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery --script-args safe=1 [targetnetworks]
Se non avete voglia di guardarvi a mano tutto il report, potete usare uno script in Perl ( http://noh.ucsd.edu/~bmenrigh/nxml_conficker.pl ) per ottenere un output XML.
A quel punto i computer riscontrati come possibili untori andranno scollegati dalla rete ed eseguite tutte le operazioni del caso che ormai i sistemisti conoscono bene: i client andranno controllati con GMER, ripuliti con una scansione all’avvio del vostro antivirus debitamente aggiornato, e verificati a mano percorsi come la cartella dei tasks e le voci di registro che grazie a SVCHOST rilanciano il virus come i componenti di Jeeg robot d’acciaio.
Software
Tecnica
conficker
malware
nmap
rootkit
sicurezza
windows
from google
Per andare a cercare nella propria rete l’impronta di Conficker potete usare NMAP, una utility gratuita per esplorare la propria rete.
Grazie alla ricerca di Tillmann Werner e Felix Leder che fanno parte del Honeynet Project e alla implementazione di Ron Bowes, David Fifield, Brandon Enright, and Fyodor, è stata creata, ormai un anno fa, una release di Nmap release che permette di controllare la vostra rete e individuare le macchine infette.
E’ sufficiente inserire nella linea di comando di NMAP il codice sottostante per ottenere una lista di computer che alla voce “Conficker” riporteranno lo stato riscontrato, “Conficker: Likely CLEAN” o spero pochi per voi, “Conficker: likely INFECTED”.
nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery --script-args safe=1 [targetnetworks]
Se non avete voglia di guardarvi a mano tutto il report, potete usare uno script in Perl ( http://noh.ucsd.edu/~bmenrigh/nxml_conficker.pl ) per ottenere un output XML.
A quel punto i computer riscontrati come possibili untori andranno scollegati dalla rete ed eseguite tutte le operazioni del caso che ormai i sistemisti conoscono bene: i client andranno controllati con GMER, ripuliti con una scansione all’avvio del vostro antivirus debitamente aggiornato, e verificati a mano percorsi come la cartella dei tasks e le voci di registro che grazie a SVCHOST rilanciano il virus come i componenti di Jeeg robot d’acciaio.
february 2010 by abeggi
Worm Conficker.B: forse non tutto il male viene per nuocere
january 2009 by abeggi
Ritrovarmi a commentare una importante infezione come questa a cinque anni di distanza dall'ultimo serio evento worm vissuto sul campo a fianco dei clienti mi lascia un sapore agro-dolce. Il primo impulso a leggere i titoli delle testate online su questa notizia è quello di domandarsi (come immagino abbiano fatto molti clienti): possibile che non sia cambiato nulla in questi anni? In questo post mi piacerebbe riuscire a condividere con voi quanto sia cambiato, e in modo davvero notevole, e quanto no, desolatamente. Per farlo è opportuno declinare le considerazioni nei due ambiti, diversi tra loro, a cui questa situazione di infezione si applica: gli utenti finali e le aziende.
Gli utenti finali sono la parte "dolce" del sapore a cui accennavo in precedenza. Pensando alla situazione tipica di un utente finale che si connette ad Internet tramite la sua ADSL e un apparato tale da schermarlo rispetto agli attacchi dall'esterno, è altamente probabile che NON sia la parte interessata da queste infezioni da Conficker.B, per i seguenti motivi:
a meno di non aver disabilitato il meccanismo predefinito degli aggiornamenti automatici di Windows, il PC è stato già reso sicuro lo scorso 23 ottobre 2008 (data di rilascio straordinario del bollettino MS08-067) rispetto alla vulnerabilità sfruttata da questo worm. Questo a riprova dei straordinari progressi messi in atto da Microsoft in questi anni, sia rispetto alla velocità di risposta nella gestione delle vulnerabilità (MSRC), sia nel miglioramento del meccanismo di Microsoft Update per fornire aggiornamenti relativi a tutti i principali applicativi Microsoft. La configurazione tipica dei modem ADSL non permette di far entrare i tentativi di infezione che giungono via rete da Internet. Quindi, a meno di non cadere in trappola rispetto ad allegati pericolosi di email (questa modalità di propagazione al momento non risulta utilizzata) o a chiavette USB/hard disk esterni infetti, gli utenti finali sono ragionevolemente al sicuro da tempo, ed ora probabilmente ulteriormente protetti dai loro software antivirus che dovrebbero essere in grado di rilevare il tentativo di infezione e bloccarlo. (L'uso del condizionale è dovuto al fatto di aver osservato un pericoloso ritardo da parte di alcuni vendor antivirus nella produzione di firme davvero efficaci).
Veniamo alla parte "acre" del sapore, le aziende. E' molto probabile che i numeri di questa infezione siano diventati significativi a causa del contributo da parte dei sistemi (PC e server) in azienda, dove stiamo assistendo ad una oggettiva difficoltà nel contenimento e nella bonifica di questo worm. Perché? Ecco, senza tediarvi con troppi dettagli tecnici (che volendo potete approfondire in questo mio post) si può riassumere la situazione in questo modo:
grazie alla capacità di questo worm di utilizzare 5 diverse modalità di propagazione per infettare altri sistemi della rete aziendale, la sua dinamica di diffusione sta mettendo a nudo e sta avvantaggiandosi di diverse inefficienze strutturali nella gestione della sicurezza da parte dei clienti, in qualche caso sul versante tecnologico, ma più frequentemente su aspetti procedurali e organizzativi.
Chi mastica un po' di sicurezza può scorrere l'elenco di queste 5 diverse modalità di propagazione e potrà convenire con me che si tratta di aspetti di sicurezza davvero di base (es. password deboli, anche per utenze amministrative!): farsi trovare impreparati su questi aspetti è sintomo di sicurezza non gestita. Altri esempi? Mancato uso della piena potenzialità degli strumenti di amministrazione dei sistemi, bizantinismi nei processi di valutazione degli aggiornamenti da installare (non essere riusciti a installare la patch a 2 mesi dalla sua disponibilità è un problema che era ragionevole 5 anni fa, non sostenibile oggi), assenza di processi di gestione delle emergenze, non chiara individuazione delle competenze e delle responsabilità, difficoltà di comunicazione tra le divisioni aziendali, potrei continuare ancora...
Questo è quello che stiamo osservando sui clienti aziendali che sono stati colpiti dal worm. D'altra parte abbiamo anche casi opposti, che confermano la tesi che vi ho esposto: alcuni grandi clienti italiani, davvero grandi (peccato non poter fare nomi!), che in questi anni hanno seguito le best practice, si sono davvero rafforzati e finora non hanno visto l'ombra di Conficker!
Quindi, sia detto con tutto il mio profondo rispetto verso i clienti alle prese con questa infezione (assieme a quali stiamo lavorando assiduamente per aiutarli), permettetemi di invitare a fare di necessità virtù: a infezione superata, vale la pena riesaminare quanto accaduto per porre mano a interventi strutturali di gestione della sicurezza, e tradurre questo incidente in opportunità di crescita. .
Il seguente post sul mio Security Blog contiene tutti i riferimenti utili all'approfondimento di questa problematica e sarà aggiornato man mano con tutti i consigli utili al contenimento di questa infezione:
Considerazioni per un efficace contenimento dell'infezione Conficker.B
Prodotti_e_Soluzioni
Sicurezza
from google
Gli utenti finali sono la parte "dolce" del sapore a cui accennavo in precedenza. Pensando alla situazione tipica di un utente finale che si connette ad Internet tramite la sua ADSL e un apparato tale da schermarlo rispetto agli attacchi dall'esterno, è altamente probabile che NON sia la parte interessata da queste infezioni da Conficker.B, per i seguenti motivi:
a meno di non aver disabilitato il meccanismo predefinito degli aggiornamenti automatici di Windows, il PC è stato già reso sicuro lo scorso 23 ottobre 2008 (data di rilascio straordinario del bollettino MS08-067) rispetto alla vulnerabilità sfruttata da questo worm. Questo a riprova dei straordinari progressi messi in atto da Microsoft in questi anni, sia rispetto alla velocità di risposta nella gestione delle vulnerabilità (MSRC), sia nel miglioramento del meccanismo di Microsoft Update per fornire aggiornamenti relativi a tutti i principali applicativi Microsoft. La configurazione tipica dei modem ADSL non permette di far entrare i tentativi di infezione che giungono via rete da Internet. Quindi, a meno di non cadere in trappola rispetto ad allegati pericolosi di email (questa modalità di propagazione al momento non risulta utilizzata) o a chiavette USB/hard disk esterni infetti, gli utenti finali sono ragionevolemente al sicuro da tempo, ed ora probabilmente ulteriormente protetti dai loro software antivirus che dovrebbero essere in grado di rilevare il tentativo di infezione e bloccarlo. (L'uso del condizionale è dovuto al fatto di aver osservato un pericoloso ritardo da parte di alcuni vendor antivirus nella produzione di firme davvero efficaci).
Veniamo alla parte "acre" del sapore, le aziende. E' molto probabile che i numeri di questa infezione siano diventati significativi a causa del contributo da parte dei sistemi (PC e server) in azienda, dove stiamo assistendo ad una oggettiva difficoltà nel contenimento e nella bonifica di questo worm. Perché? Ecco, senza tediarvi con troppi dettagli tecnici (che volendo potete approfondire in questo mio post) si può riassumere la situazione in questo modo:
grazie alla capacità di questo worm di utilizzare 5 diverse modalità di propagazione per infettare altri sistemi della rete aziendale, la sua dinamica di diffusione sta mettendo a nudo e sta avvantaggiandosi di diverse inefficienze strutturali nella gestione della sicurezza da parte dei clienti, in qualche caso sul versante tecnologico, ma più frequentemente su aspetti procedurali e organizzativi.
Chi mastica un po' di sicurezza può scorrere l'elenco di queste 5 diverse modalità di propagazione e potrà convenire con me che si tratta di aspetti di sicurezza davvero di base (es. password deboli, anche per utenze amministrative!): farsi trovare impreparati su questi aspetti è sintomo di sicurezza non gestita. Altri esempi? Mancato uso della piena potenzialità degli strumenti di amministrazione dei sistemi, bizantinismi nei processi di valutazione degli aggiornamenti da installare (non essere riusciti a installare la patch a 2 mesi dalla sua disponibilità è un problema che era ragionevole 5 anni fa, non sostenibile oggi), assenza di processi di gestione delle emergenze, non chiara individuazione delle competenze e delle responsabilità, difficoltà di comunicazione tra le divisioni aziendali, potrei continuare ancora...
Questo è quello che stiamo osservando sui clienti aziendali che sono stati colpiti dal worm. D'altra parte abbiamo anche casi opposti, che confermano la tesi che vi ho esposto: alcuni grandi clienti italiani, davvero grandi (peccato non poter fare nomi!), che in questi anni hanno seguito le best practice, si sono davvero rafforzati e finora non hanno visto l'ombra di Conficker!
Quindi, sia detto con tutto il mio profondo rispetto verso i clienti alle prese con questa infezione (assieme a quali stiamo lavorando assiduamente per aiutarli), permettetemi di invitare a fare di necessità virtù: a infezione superata, vale la pena riesaminare quanto accaduto per porre mano a interventi strutturali di gestione della sicurezza, e tradurre questo incidente in opportunità di crescita. .
Il seguente post sul mio Security Blog contiene tutti i riferimenti utili all'approfondimento di questa problematica e sarà aggiornato man mano con tutti i consigli utili al contenimento di questa infezione:
Considerazioni per un efficace contenimento dell'infezione Conficker.B
january 2009 by abeggi
Copy this bookmark: