[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2004-008
Patrones de Compromiso Recientes en Sistemas Windows
----------------------------------------------------------------------
En las últimas semanas el UNAM-CERT (Equipo de Respuesta a
Incidentes de Seguridad en Cómputo UNAM) ha recibido diversos
reportes de equipos con sistemas Windows NT, 2000, 2003 y XP
comprometidos en redes MX. De acuerdo a análisis preliminares estos
ocurren principalmente en sistemas que presentan características de
contraseñas débiles o nulas y a la falta de actualizaciones de
seguridad.
Fecha de Liberación: 30 de Noviembre de 2004
Ultima Revisión: ---
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, así como Foros y
Listas de Discusión.
Sistemas Afectados
==================
* Windows NT
* Windows 2000
* Windows XP
* Windows 2003
I. Descripción
==============
Los sistemas Windows Comprometidos detectados han sido analizados y
éstos han presentado patrones similares de comportamiento. En la
mayoría de los casos los sistemas fueron comprometidos para instalar
un IRC (Internet Relay Chat) y un FTP, este último utilizado para
establecer un sitio Warez (un sitio para poder colocar y descargar
música, videos y películas).
La forma de explotación de sistemas Windows reportada en las últimas
semanas en diversos equipos dentro de red UNAM y redes MX, es a
través de la explotación de contraseñas débiles o nulas utilizando
mecanismos de fuerza bruta o herramientas que realizan ataques de
diccionario.
Utilizando mecanismos automáticos para acceder a través de fuerza
bruta, y a su vez teniendo acceso al sistema, éste puede recibir
instrucciones para ser controlado de forma remota y de esta forma
poder lanzar ataques (por ejemplo ataques DDOS - Negación de
Servicio Distribuido) contra otras redes y sistemas mediante una
serie de herramientas y gusanos automatizados. También se han tenido
reportes de que se están explotando vulnerabilidades en sistemas sin
actualizaciones para obtener acceso.
Una vez que el sistema es comprometido, el siguiente paso es
utilizar herramientas automatizadas para colocar un IRC o FTP. Una
técnica muy común para realizarlo es mediante un archivo compreso
mediante la utilería Winrar, a través de la característica de SFX.
Un archivo SFX (SelF-eXtracting) es un archivo fusionado con un
módulo ejecutable, el cual es utilizado para extraer archivos cuando
es ejecutado. De esta forma ningún programa externo es necesario
para extraer el contenido de un archivo SFX, y es suficiente para
ejecutarlo. Un ejemplo de las instrucciones que tienen este tipo de
archivos son las siguientes:
;The comment below contains SFX script commands
Path=c:\winnt
SavePath
Setup=c:\winnt\wincache94\inst.bat
Silent=1
Overwrite=1
Donde:
Path: Establece la ruta de destino predeterminada donde se
descomprimirá el archivo ejecutable.
Setup: Ejecuta el programa especificado tras una extracción
correcta.
Silent: Omite el diálogo de inicio. El parámetro 1, inicia la
extracción completamente oculta, incluyendo la barra de progreso
y los nombres de archivo.
Overwrite: Selecciona el modo de sobrescritura de archivos.
Utilizando esta técnica se ha creado y modificado varios rootkits
para Windows. Algunos ejemplos de estos son:
*
Kit.exe. Se descomprime en la carpeta c:\kit\ y al terminar
ejecuta algunos archivos bat, uno de esto mueve el contenido
de esta carpeta a c:\windows\system32\dap, además de
descomprimir otros ejecutables.
*
sksksk.exe. Se descomprime en el directorio
c:\winnt\wincache94\, al terminar de descomprimirse ejecuta
diversos archivos.
*
bncundernet.exe. Se descomprime en c:\winnt\web\, al terminar
ejecuta un archivo bat el cual tiene las instrucciones
necesarias para realizar la instalación.
A continuación se muestran algunos iconos de la forma en que se
podrían observar en un directorio de Windows.
Es importante señalar que éstos archivos tienen utilerías que son
validas y por lo tanto no son detectadas por las firmas antivirus.
En el siguiente apartado se mencionarán algunas de las utilerías
comúnmente utilizadas.
II. Software Malicioso Instalado
================================
Los archivos comunes para automatizar la instalación de IRCs, FTPS,
puertas traseras entre otros son los siguientes.
* FireDaemon
Utilería que permite instalar y ejecutar virtualmente
cualquier aplicación o script nativo de Win32 (por ejemplo
Batch/Cmd, Perl, Java, Python, TCL/TK) como un servicio de
Windows NT/2K/XP/2K3. Algunos de los posibles nombres con los
que se puede encontrar este archivo son mssvchost.exe y
firedaemon.exe. Esta utilería utiliza dos dll's las cuales son
FireDaemonRT.dll y SvcAdmin.dll
* Iroffer
Es un servidor de archivos para IRC (comúnmente referenciado
como DDC bot). Utiliza la característica de IRC para enviar
archivos a otros usuarios. Iroffer se conecta a un servidor
IRC y permite a los usuarios requerir archivos del mismo.
Requiere del archivo cygwin1.dll para funcionar adecuadamente.
Algunos de los posibles nombres con los que se puede encontrar
este archivo son smss.exe y iroffer.exe.
* Serv-U FTP Server
Es un servidor de FTP con características completas que se
ejecuta en sistemas Windows para la compartición de archivos
en Internet. Algunos de los posibles nombres con los que se
puede encontrar este archivo son: sysmon.exe y svchost.exe. A
continuación se muestran dos iconos de como se podría detectar
este programa en un directorio de Windows.
* Psybnc.exe
Programa muy parecido a un VNC. Se ejecuta en otro servidor
permitiendo realizar conexiones al mismo como un servidor IRC,
y a través de él, conectarte a un verdadero servidor IRC o FTP
utilizando la IP del servidor donde se encuentra psybnc.
Mediante un archivo de configuración se puede asignar el
puerto a utilizar, además psybnc acepta una serie de comandos
con los cuales se puede asignar el puerto de ingreso, listar o
borrar servidores, entre otras características.
* hidden32.exe
Permite iniciar cualquier programa sin que aparezca su ventana
principal, permitiendo su ejecución en segundo plano. No es
una utilidad maliciosa, por tal motivo las firmas antivirus no
la detectan como tal. A continuación se muestran algunos
iconos de esta utilidad.
* DiskInfo.exe
Proporciona información sobre el tamaño de las particiones y
del espacio libre de todos los discos duros conectados a la
maquina.
* Kill.exe
Utilidad que permite terminar procesos proporcionándole un
patrón en específico o el PID (Identificador del Proceso) del
proceso.
* Tar.exe
Utilería similar al tar de los sistemas Unix. Se utiliza
normalmente para empaquetar, desempaquetar, comprimir y
descomprimir archivos.
* UnRAR.exe
Utilería para descomprimir archivos rar.
* Delsrv.exe
Permite eliminar un servicio a través del «Administrador de
control de servicios» de Windows.
* Psinfo.exe
Herramienta de línea de comandos que recolecta información de
un equipo local o remoto, incluyendo el tipo de instalación,
kernel, memoria física, procesador, versión del software,
entre otros datos.
* Pulist.exe
Herramienta de línea de comandos que muestra los procesos en
ejecución de un equipo local o remoto. Este comando muestra el
nombre del proceso y el ID de cada uno de estos, además,
intenta obtener el nombre de usuario asociado a cada uno de
los procesos.
* Servicelist.exe
Herramienta que proporciona los servicios disponibles en el
equipo local.
* Tlist.exe
Muestra una lista de IDs, nombres y procesos ejecutándose
sobre el equipo local.
* Uptime.exe
Herramienta de línea de comandos para calcular con facilidad
el tiempo de actividad del sistema. Utiliza los sucesos
almacenados en el Visor de Sucesos para calcular estas cifras.
* Unreal.rar
Archivo empaquetado con un Unreal.exe, el cual es un IRC con
diversas características.
* Whoami.exe
Herramienta de línea de comandos que muestra el dominio o
nombre del equipo y el usuario(s) que actualmente tiene
establecida una sesión. Muestra el SID de usuarios y grupos,
privilegios y el estado de los mismos.
* RebootNT.exe ó reboot.exe
Herramienta utilizada para reiniciar el Sistema Operativo.
* Dameware
Aplicación empresarial de administración de sistemas Windows
NT/2000/XP, la cual proporciona una colección integrada de
utilerías de administración remota.
* Archivos .bat
Utilizados para realizar la instalación y la configuración de
los programas como iroffer, firedaemon o FTP. En ocasiones,
crean y aplican configuraciones de plantillas de Windows.
* Archivos .ini
Contienen configuraciones de los programas IRC, FTP u otros.
III. Posibles Síntomas de un Sistema Comprometido
=================================================
* Degradación en los recursos del sistema sin motivo aparente.
* Procesos fuera de lo común, sospechosos o con nombres raros.
* Discos duros con datos ocupando casi el 100% de su capacidad
sin motivo alguno.
* Número elevado de puertos abiertos en el sistema.
* Generación de tráfico excesivo, ya sea entrante o saliente.
* Fallas continúas en conexiones a Internet o a la red.
* Eliminación de las bitácoras del equipo.
IV. Principales Razones del Compromiso de los Sistemas
=======================================================
* Contraseñas débiles.
Contraseñas en blanco, de longitudes pequeñas o débiles. Es
muy común que cuando se realiza una instalación se deje la
cuenta de administrador o de un usuario con permisos
administrativos en blanco o con contraseñas fáciles de obtener
mediante ataques de fuerza bruta o de diccionario. Además, si
las contraseñas son menores a 8 caracteres aumenta el grado de
probabilidad de que sean descifradas.
* Directorios y recursos compartidos de forma predeterminada.
Es muy común que se tengan que compartir recursos dentro de la
organización, pero muchas veces, estos recursos pueden ser
descubiertos por los intrusos a través de enumeraciones y de
esta forma conocer exactamente que recursos explotar. En el
caso de la actividad reportada por el UNAM-CERT, la mayoría de
las veces, el problema se ocasionó porque los usuarios
comparten recursos a todos los usuarios y de esta forma, el
intruso utiliza este hecho para introducir sus puertas
traseras y rootkits al sistema.
* Servicios instalados de forma predeterminada
Principalmente en sistemas Windows NT y 2000, es común que al
momento de realizar la instalación, se incluyan de forma
predeterminada servicios adicionales a los requerimientos
mínimos del sistema; entre los principales se encuentran el
servicio Web IIS, Index Service, Telnet, entre otros. Debido a
la falta de medidas de seguridad, estos servicios se mantienen
ejecutándose sin supervisión alguna, siendo de esta forma una
puerta abierta para los intrusos debido a las vulnerabilidades
que cada servicio pueda tener.
* Falta de actualizaciones de seguridad
Uno de las formas preferidas por los intrusos para ingresar al
sistema, es la explotación de vulnerabilidades tanto del
propio sistema como de servicios y aplicaciones. A medida que
se dejen de actualizar los sistemas, se aumenta la
probabilidad de que sea comprometido al explotar estas
vulnerabilidades. De igual forma, es necesario el uso de
software antivirus que sean capaces de identificar archivos
infectados o de los propios rootkits, pero si estos no son
actualizados y no se realizan escaneos periódicos, no serán de
mucha utilidad.
* Uso de aplicaciones no confiables como P2P
El uso de aplicaciones para compartir archivos entre
diferentes usuarios (Kazaa, Warez P2P, Morpheus, etc.) ha
aumentado las posibilidades de que un equipo sea comprometido,
el problema principal radica en que los directorios son
compartidos a través de la red y los usuarios caen en el
engaño de descargar archivos para su uso pero sin percatarse
que son archivos que pueden comprometer al sistema.
* Falta de políticas de seguridad adecuadas
Finalmente, dentro de muchas organizaciones el problema radica
en que a pesar de contar con medidas de seguridad adecuadas,
no existen políticas que rijan el empleo adecuado del equipo
de cómputo y por lo mismo se presentan casos como privilegios
de administración para todos los usuarios, instalación de
aplicaciones y uso de recursos de forma inadecuada o mala
organización en las tareas administrativas de los encargados
de los equipos.
Recomendaciones
===============
El UNAM-CERT recomienda a todo usuario de cómputo llevar a cabo los
siguientes pasos para verificar la seguridad de los sistemas Windows
en sus versiones NT, XP, 2000 y 2003.
* Monitorear la existencia de puertos abiertos en el sistema y
compararlos con los mencionados en este análisis. Algunas de
las herramientas que pueden emplearse son las siguientes:
o Netstat (incluida en el sistema operativo Windows).
o Fport (www.foundstone.com <http://www.foundstone.com>).
o Active ports (http://www.protect-me.com/freeware.html).
* Verificar puertos sospechosos realizando conexiones mediante
telnet para buscar posibles IRCs, FTPs o puertas traseras.
* Monitorear y verificar la validez de procesos sospechosos con
herramientas como:
o Process Explorer (http://www.sysinternals.com).
o Process Viewer (http://www.teamcti.com/pview/).
o Tlist.exe. Contenida en las Herramientas de Soporte de
Windows 2000.
* Aplicar políticas de contraseñas complejas, longitud mínima de
8 caracteres y deshabilitar una cuenta de usuario al tener 5
intentos fallidos en la contraseña.
* Ejecutar y administrar de forma periódica algún software
antivirus.
* Deshabilitar todos los servicios que no sean necesarios y en
el caso de que alguno sea indispensable, se debería aplicarle
algún tipo de monitoreo.
* Auditar los intentos fallidos de inicio de sesión.
* Aplicar las actualizaciones de seguridad más recientes a los
sistemas operativos, así como a todos los servicios
adicionales que estén ejecutándo.
o Consulte la página de Microsoft en relación al Servicio
de Hotfix y Boletines de Seguridad en:
http://www.microsoft.com/technet/security/CurrentDL.aspx
<http://www.microsoft.com/technet/security/CurrentDL.aspx>.
o Algunas de las herramientas utilizadas para la
verificación de actualizaciones son:
+ Microsoft Baseline Security Analyzer v1.2.1
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
+ HfnetchkLT
http://www.shavlik.com/ <http://www.shavlik.com/>
+ Windows Update
http://v4.windowsupdate.microsoft.com/en/default.asp
* Implementar un firewall de perímetro de red o un firewall
personal.
* Cuando encuentre señales de intrusión, examine todos los
equipos en la red local. La mayoría de las veces, si un equipo
ha sido comprometido, otros en la red también lo están.
Apéndice A. Información Adicional
==================================
* Incremento de Sistemas Windows Comprometidos en Redes MX -
<http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-004.html>.
* Virus y Gusanos del UNAM-CERT -
<http://www.unam-cert.unam.mx/gusanos/index.html>.
* Servicio de Hotfix y Boletines de Seguridad de Microsoft -
<http://www.microsoft.com/technet/security/tools/mbsahome.mspx>.
* Lista Segwin, Departamento de Seguridad en Cómputo -
<http://www.seguridad.unam.mx/mailman/listinfo/segwin>.
Apéndice B. Software Antivirus
==============================
* Symantec Corporation
http://www.symantec.com <http://www.symantec.com/region/mx/>
* Trend Micro - Opción de escaneo en línea
http://www.trendmicro.com <http://www.trendmicro.com/la>
* Panda Software - Opción de escaneo en línea
http://www.pandasoftware.com
<http://www.pandasoftware.com/com/mx/>
* McAffee
http://www.mcafee.com/mx/
* Sophos
http://esp.sophos.com/
* F-secure
http://www.f-secure.com/
* Computer Associates
http://www.ca.com/offices/mexico/
* Bitdefender - Opción de escaneo en línea
http://www.bitdefender-es.com
<http://www.bitdefender-es.com/index.php>
* Rav Antivirus - Opción de escaneo en línea
http://www.ravantivirus.com
Apéndice C. Firewall Personales
================================
* Norton Personal Firewall 2005 (Symantec)
http://www.symantec.com/sabu/nis/npf/
* ZoneAlarm versión gratuita (ZoneLabs)
http://download.zonelabs.com/bin/free/es/download/znalm.html
* Sygate Personal Firewall PRO (Sygate)
http://smb.sygate.com/support/documents/pspf/default.htm
* McAffe Personal Firewall (McAffe)
http://www.mcafee.com/myapps/firewall/default.asp
* Tiny Personal Firewall (ViruScan Software)
http://www.virus-scan-software.com/index.shtml
Apéndice D. Reportar Información
=================================
El UNAM-CERT ha puesto todo el esfuerzo posible para asegurar que la
información contenida en este documento sea confiable al momento de
su publicación. Sin embargo, la decisión de utilizar la información
descrita es responsabilidad de cada usuario u organización. La
adecuación de este documento para una organización o sistema
individual debería ser considerada antes de su aplicación en
conjunto con las políticas y procedimientos locales. La aplicación
de las recomendaciones mencionadas en éste documento son
responsabilidad absoluta del administrador del sistema.
Si algún administrador o usuario de red detecta que su sistema ha
sido comprometido, puede contactar al UNAM-CERT en la siguiente
cuenta de correo electrónico:
unam-cert en seguridad unam mx
------------------------------------------------------------------------
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo
en la elaboración y revisión de éste Nota de Seguridad a:
* Juan López Morales (jlopez en correo seguridad unam mx
* Omar Sáenz Herrera (osaenz en correo seguridad unam mx
------------------------------------------------------------------------
Información
===========
Éste documento se encuentra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Notas/Notas2004/nota-UNAM-CERT-2004-008.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.seguridad.unam.mx
http://www.cert.org.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQa0SdHAvLUtwgRsVAQFr3Qf/YNX1vaX0zd6i2y82e3ZCVYBfFJJog/NE
MawW3uhC60kQaSEhu86g2V5g7uXAMKmnkkBvzh1axUrNViXyFQzJdOErDzNc+hAo
YExmx/NpPA/TNjBoqsKwA2Uz7YQ7wtJGZuAeveU7Tem5DMqyoIQUO9zXE+OVRCOS
ewVG1Cbshh9MMVas+Pp+gkwF5wG9h17tfmNITIn7oWHyzLkSOR9ICVp564CmVSqc
xnMOizTxXP1O529385GtNmrfgTJ/lH55uFJVw1lrVed17bwkIHavItuH1Wo1pxND
1bhwVIwO5gcrpvIkHMCNzcmf9LtqqLDnPgeOvLLqhFBgxVH5p19gtg==
=NKN4
-----END PGP SIGNATURE-----