[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor] ------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletin de Seguridad UNAM-CERT 2003-008
Incremento de Actividad sobre Recursos Compartidos de Windows
------------------------------------------------------------------------
El *CERT/UNAM-CERT*, a través de sus equipos de respuesta a
incidentes de *Seguridad en Cómputo*, han emitido éste boletín en el
cual informan que en las recientes semanas se ha observado un
incremento en el número de reportes de sistemas ejecutando Windows
2000 y XP comprometidos debido a recursos compartidos protegidos de
forma incorrecta.
Fecha de Liberación: 11 de Marzo de 2003
Ultima Revisión: - - -
Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a
Incidentes.
SISTEMAS AFECTADOS
------------------
* Microsoft Windows 2000.
* Microsoft Windows XP.
DESCRIPCIÓN
-----------
Desde hace unas cuantas semanas, el CERT/UNAM-CERT han recibido un
incremento en el número de reportes de actividad de intrusión que
involucra la explotación de passwords de Administrador Nulos (es
decir, sin password) ó débiles en recursos compartidos de archivos
SMB (Server Manage Block) utilizados en sistemas ejecutando Windows
2000 o XP. Esta actividad ha tenido como resultado el compromiso
satisfactorio de miles de sistemas, teniendo como principal objetivo
los sistemas de banda ancha de usuarios caseros. Ejemplos recientes
de tal actividad son las herramientas de ataque conocidas como
/W32/Deloder, GT-bot, sdbot/, y /W32/Slackor/, las cuales se
describen a detalle más adelante.
Antecedentes
------------
Microsoft Windows utiliza el protocolo SMB para compartir recursos
de archivos e impresoras con otras computadoras. En versiones
anteriores de Windows (95, 98, Me y NT), los recursos compartidos
SMB se ejecutaban en /NetBIOS sobre TCP/IP (NBT)/ en los puertos
137/TCP y UDP, 138/UDP y 139/UDP. Sin embargo, en las últimas
versiones de Windows (2000 y XP), es posible ejecutar SMB
directamente sobre TCP/IP en el puerto 445/TCP.
Los recursos compartidos de Windows con passwords Nulos o pobremente
establecidos han sido un riesgo de seguridad recurrente tanto para
las redes corporativas y los usuarios caseros desde hace tiempo:
* IN-2002-06: Código Malicioso W32/Lioten
<http://www.cert.org/incident_notes/IN-2002-06.html>
* CA-2001-20: Continúan las Amenazas para los Usuarios Caseros
<http://www.cert.org/advisories/CA-2001-20.html>
* IN-2000-02: Exploit de Recursos Compartidos en Redes Windows
No Protegidas <http://www.cert.org/incident_notes/IN-2000-02.html>
* IN-2000-03: Gusano 911
<http://www.cert.org/incident_notes/IN-2000-03.html>
A menudo ha sido el caso en que estos recursos compartidos
configurados de forma errónea han sido expuestos al Internet. Los
intrusos han sido capaces de obtener acceso a estos recursos
compartidos de Windows protegidos pobremente explotando passwords
débiles o Nulos; Este problema se agrava mediante otra tendencia
relevante: los intrusos específicamente tienen como objetivo rangos
conocidos de direcciones de Internet que contienen una densidad alta
de sistemas débilmente protegidos. Como se describe en el CA-2001-20
<http://www.cert.org/advisories/CA-2001-20.html>, los esfuerzos de
los intrusos comúnmente se enfocan en direcciones conocidas que son
utilizadas por conexiones banda ancha de usuarios caseros.
Desarrollos Recientes
---------------------
El CERT/UNAM-CERT han recibido recientemente un número de reportes
de la explotación de passwords Nulos o débiles en sistemas
ejecutando Windows 2000 o Windows XP. Miles de sistemas han sido
comprometidos de esta forma.
Aunque las herramientas involucradas en estos reportes varían,
exhiben un número de rasgos comunes, entre los que se incluyen:
* Escaneo de sistemas escuchando en el puerto 445/TCP
(frecuentemente con el mismo /16 de red como el servidor
infectado).
* Exploit de passwords débiles o Nulos para obtener acceso a la
cuenta /Administrator/.
* Instalación de Puertas Traseras (Backdoors) para acceso remoto
* Instalar servidores IRCs (Internet Relay Chat) para esperar la
emisión de comandos adicionales por parte de los intrusos.
* Instalar o soportar herramientas utilizadas en ataques DDoS
(distributed denial-of-service).
Algunas de las herramientas reportadas tienen características de
autopropagación (por ejemplo, gusanos), mientras otras son
propagadas mediante técnicas de ingeniería social similares a las
descritas en in Nota de Seguridad UNAM-CERT 2002-002: Ataques de
Ingeniería Social Vía IRC y Mensajero Instantáneo
<http://www.unam-cert.unam.mx/Notas/Notas2002/nota-UNAM-CERT-2002-002.html>.
Los escaneos de red asociados con esta actividad se han extendido,
pero parecen estar especialmente concentrados en rangos de
direcciones comúnmente asociados con los usuarios caseros de banda
ancha. Utilizando estas técnicas, muchos intrusos han construido
redes importantes de agentes DDoS, cada una comprendida de miles de
sistemas comprometidos.
W32/Deloder
-----------
El código malicioso autopropagable w32/Deloder es un ejemplo de la
actividad de intrusión descrita anteriormente. Comienza escaneando
el /16 (por ejemplo, direcciones con los mismos dos primeros octetos
de orden más alto) del servidor infectado hacia los sistemas que se
encuentra escuchando en el puerto 445/TCP. Cuando una conexión es
establecida, W32/Deloder intenta comprometer la cuenta
/Administrator/ utilizando una lista de passwords precargados. Las
variantes pueden incluir passwords diferentes o adicionales, pero de
acuerdo con reportes realizados al CERT/UNAM-CERT indican lo siguiente:
[NULL] 0 000000 00000000 007 1 110 111 111111 11111111 12 121212
123 123123 1234 12345 123456 1234567 12345678 123456789 1234qwer
123abc 123asd 123qwe 2002 2003 2600 54321 654321 88888888 Admin
Internet Login Password a aaa abc abc123 abcd admin admin123
administrator alpha asdf computer database enable foobar god
godblessyou home ihavenopass login love mypass mypass123 mypc
mypc123 oracle owner pass passwd password pat patrick pc pw
pw123 pwd qwer root secret server sex super sybase temp temp123
test test123 win xp xxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx yxcv zxcv
Una vez habiendo comprometido la cuenta /Administrator/, W32/Deloder
se copia el mismo al sistema víctima, colocando múltiples copias en
varias localidades en el sistema. Adicionalmente, agrega una clave
en el Registro que causa la ejecución automática del /dvldr32.exe/
(una de las copias mencionadas anteriormente). El sistema víctima
comienza a escanear otros sistemas para infectarlos después de que
éste es reiniciado.
w32/Deloder abre puertas traseras en el sistema víctima para
permitir a los intrusos un acceso total. Lo realiza en dos formas:
1. Intenta conectarse a uno de un número servidores IRC
preconfigurados.
2. Instala una copia de VNC <http://www.uk.research.att.com/vnc/>
(Virtual Network Computing), una herramienta de visualización
remota de código abierto desde AT&T, que escucha en el puerto
5800/TCP o 5900/TCP
*Nota:* VNC no es una herramienta maliciosa, y tiene muchos otros
usuario legítimos.
Durante el curso de la infección por W32/Deloder, un número de
archivos pueden ser creados en el sistema. Los reportes indican que
los archivos que tienen las siguientes descripciones han sido
encontrados en los sistemas comprometidos:
*Nombre de Archivo* *Tamaño de Archivo (bytes)* *Descripción*
dvldr32.exe 745,984 Código malicioso autropropagable.
inst.exe 684,562 Este archivo instala las aplicaciones de
puerta trasera en el servidor víctima.
psexec.exe 36,352 Una copia de la aplicación Remote Process
Launch (no explícitamente maliciosa, pero permite que el
gusano se replique).
explorer.exe 212,992 Una copia renombrada de la aplicación VNC
omnithread_rt.dll 57,344 Archivo de dependencia de VNC.
VNCHooks.dll 32,768 Archivo de dependencia de VNC.
rundll32.exe 29,336 Aplicación bot IRC-Pitchfork
cygwin1.dll 944,968 Archivo de dependencia de IRC-Pitschfork
GT-bot y sdbot
--------------
Los intrusos frecuentemente utilizan "bots" IRC (software automático
que acepta comandos mediante canales IRC) para controlar remotamente
sistemas comprometidos. GT-bot y sdbot son dos ejemplos de bots IRC
desarrollados por intrusos. Ambos soportan el escaneo automatizado y
la explotación de recursos compartidos de Windows protegidos
inadecuadamente. Estas herramientas también ofrecen a los intrusos
una variedad de características DDoS, incluyendo la habilidad de
generar tráfico ICMP, UDP o TCP.
Estas herramientas están en constante desarrollo por los intrusos y
frecuentemente se incluyen como parte de otras herramientas. Como
resultado, los nombres, tamaños y otras características de los
archivos que podrían contener estas herramientas varían ampliamente.
Además, una vez instaladas, las herramientas están diseñadas para
ocultarse, haciendo su detección más difícil.
El CERT/UNAM-CERT han recibido reportes de redes /sdbot/ tan grandes
como 7,000 sistemas y redes /GT-bot/ que exceden 140, 000 sistemas.
W32/Slackor
-----------
El gusano W32/Slackor es otro ejemplo de una herramienta que tiene
como objetivo recursos compartidos de archivos. En una máquina
comprometida, el gusano comienza escaneando el /16 de los servidores
infectados hacia otros sistemas con el puerto 445/TCP en estado de
escucha. Cuando un sistema es descubierto, W32/Slackor se conecta al
recurso compartido IPC$ utilizando un conjunto de passwords y
nombres de usuarios preprogramados, se copia por sí mismo al
directorios /C:\sp/, y ejecuta su carga activa. La carga activa
consiste de los siguientes archivos:
*Nombre de Archivo* *Descripción*
slacke-worm.exe Código malicioso autopropagable.
abc.bat Lista de passwords/usuarios
psexec.exe Una copia de la aplicación Remote Process Launch
(desde sysinternals.com, utilizada para replicar el gusano).
main.exe La aplicación bot.
W32/Slackor también contiene un bot IRC. Cuando es bot se conecta a
una red IRC, un intruso remoto controlando el IRC puede emitir
comandos arbitrarios en la computadora comprometida, incluyendo el
lanzamiento de ataques de negación de servicio.
Network footprint
-----------------
El amplio escaneo del puerto 445/TCP indica la actividad de este
tipo. Los servidores comprometidos puede tener también conexiones no
autorizadas a los servidores IRC (típicamente en el puerto 6667/TCP,
aunque los puertos pueden variar). Adicionalmente, el paquete VNC
instalado por W32/Slackor típicamente escuchará en el puerto
5800/TCP o 5900/TCP. Si un sistema comprometido es utilizado en un
ataque DDoS en otro sitio, grades volúmenes de tráfico IP (ICMP, UDP
o TCP) pueden ser detectados al provenir desde el sistema comprometido.
IMPACTO
-------
La presencia de cualquiera de estas herramientas en un sistema
indica que el password de la cuenta /Administrator/ probablemente ha
sido comprometida, y el sistema completo es sospechoso. Con este
nivel de acceso, los intrusos podrían:
* Ejercer un control remoto.
* Exponer datos confidenciales.
* Instalar otro software malicioso.
* Cambiar archivos.
* Eliminar archivos.
* Lanzar ataques contra otros sistemas.
Las actividades de escaneo de estas herramientas pueden generar
altos volúmenes de tráfico en el puerto 445/TCP. Como resultado,
algunos servidores o redes conectadas a Internet con servidores
comprometidos, pueden experimentar problemas de rendimiento
(incluyendo condiciones de negación de servicio).
Los sitios víctima de los agentes DDoS instalados por esta actividad
pueden experimentar volúmenes de tráfico excepcionalmente pesados o
rangos de paquete altos, resultando en la degradación de servicios o
en la pérdida de conectividad total.
SOLUCIÓN
--------
Además de los pasos detallados en esta sección, el CERT/UNAM-CERT
recomiendan a los usuarios caseros revisar los documentos: "Asegurar
una Red Casera <http://www.cert.org/tech_tips/home_networks.html>" y
"Asegurar un Sistema de Casa
<http://www.cert.org/homeusers/HomeComputerSecurity/>"
* Deshabilitar o asegurar los recursos compartidos.
Una mejor práctica dicta una directiva de menor privilegio; si una
computadora no esta orientada a ser un servidor (por ejemplo,
compartir archivos con otros), debería ser deshabilitada la opción
"File and Printer Sharing for Microsoft Networks".
Para las computadoras que exportan recursos compartidos, de debe
asegurar que la autenticación de usuario es requerida y que cada una
de las cuentas tienen un password fuerte. Además, se debe considerar
utilizar un firewall que controle que computadora puede acceder a un
recurso compartido.
De forma predeterminada, Windows NT, 2000 y XP crean ciertos
recursos compartidos administrativos y ocultos. Consulte: HOW TO:
Crear y Eliminar Recursos Administrativos u Ocultos en Computadoras
Clientes.
<http://support.microsoft.com/default.aspx?scid=kb;en-us;Q314984&sd=tech>
* Utilizar passwords fuertes
Las diferentes herramientas descritas anteriormente explotan el
empleo de passwords débiles o Nulos para propagarse; el utilizar
passwords fuertes puede ayudar a evitar que los sistemas se infecten.
Microsoft ha emitido la lista de verificación "Creación de Passwords
Fuertes <http://www.microsoft.com/security/articles/password.asp>".
* Ejecutar y Actualizar un Producto Antivirus.
El código malicioso que esta siendo distribuido en estos ataques
esta bajo continuo desarrollo por los intrusos, pero la mayoría de
los distribuidores de software antivirus liberan frecuentemente
información de actualización, herramientas o bases de datos de virus
para ayudar a detectar y recuperarse de un código malicioso
involucrado en esta actividad. De esta forma, es importante que los
usuarios mantengan su software antivirus actualizado. El
CERT/UNAM-CERT mantiene una lista parcial de los distribuidores
antivirus.
Muchos paquetes antivirus soportan actualizaciones de definiciones
de virus automáticas. El CERT/UNAM-CERT recomiendan utilizar estas
actualizaciones automáticas cuando estén disponibles.
* No ejecutar programas de origen desconocido.
Nunca descargue, instale o ejecute un programa al menos que este
autorizado por una persona o compañía confiable. Los usuarios de
IRC, Instant Messaging (IM), y de los servicios de compartición de
archivos deberían tener cuidado al seguir vínculos desconocidos o al
ejecutar software enviado por otros usuarios, este es un método
comúnmente utilizado por los intrusos que intentan construir redes
de agentes DDoS.
* Implementar un Firewall.
El CERT/UNAM-CERT recomiendan utilizar un producto de firewall, como
una aplicación de red o un paquete de software de firewall personal.
En algunas situaciones, estos productos pueden ser capaces de
alertar a los usuarios el hecho de que sus máquinas están siendo
comprometidas. Además, tienen la habilidad para bloquear que los
intrusos accedan mediante puertas traseras desde la red. Sin
embargo, un firewall no puede detectar o detener todos los ataques,
por lo que es importante implementar las otras prácticas sugeridas.
* Filtrar el tráfico de entrada y salida.
El filtrado del tráfico de entrada permite controlar el flujo de
tráfico cuando se introduce a la red. Si la red utiliza una
directiva de muchos sitios, los servidores externos son solo
permitidos de inicializar tráfico de entrada a máquinas que
proporcionan servicios públicos en puertos específicos. De esta
forma, el filtrado del tráfico de entrada debería ser realizado en
el límite para prohibir que se inicialice externamente tráfico de
entrada a servicios no autorizados.
El filtrado del tráfico de salida permite controlar el flujo de
tráfico cuando abandona a la red. Existe una necesidad limitada para
que los sistemas internos accedan a recursos SMB compartidos a
través del Internet.
En el caso de la actividad de intrusión descrita anteriormente, el
bloqueo de las conexiones al puerto 445/TCP entrantes o salientes,
reduce el riesgo de que sistemas externos infectados ataquen
servidores colocados dentro de la red interna o viceversa.
* Recuperar un sistema comprometido.
Si se cree que algún sistema bajo su control administrativo ha sido
comprometido, se deben seguir los pasos indicados en:
Pasos para Recuperar un Sistema UNIX o NT Comprometido.
<http://www.cert.org/tech_tips/win-UNIX-system_compromise.html>
Referencias
------------
1. Trends in Denial of Service Attack Technology:
http://www.cert.org/archive/pdf/DoS_trends.pdf
2. Managing the Threat of Denial-of-Service Attacks:
http://www.cert.org/archive/pdf/Managing_DoS.pdf
3. IN-2002-06: W32/Lioten Malicious Code:
http://www.cert.org/incident_notes/IN-2002-06.html
4. CA-2001-20: Continuing Threats to Home Users:
http://www.cert.org/advisories/CA-2001-20.html
5. IN-2000-02: Exploitation of Unprotected Windows Networking
Shares: http://www.cert.org/incident_notes/IN-2000-02.html
6. IN-2000-03: 911 Worm:
http://www.cert.org/incident_notes/IN-2000-03.html
7. IN-2002-03: Social Engineering Attacks via IRC and Instant
Messaging: http://www.cert.org/incident_notes/IN-2002-03.html
8. VNC (Virtual Network Computing):
http://www.uk.research.att.com/vnc/
9. Home Network Security:
http://www.cert.org/tech_tips/home_networks.html
10. Home Computer Security:
http://www.cert.org/homeusers/HomeComputerSecurity/
11. HOW TO: Create and Delete Hidden or Administrative Shares on
Client Computers:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q314984&sd=tech
12. Checklist: Create Strong Passwords:
http://www.microsoft.com/security/articles/password.asp
13. Anti-virus vendors:
http://www.cert.org/other_sources/viruses.html#VI
14. Steps for Recovering from a UNIX or NT System Compromise:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
------------------------------------------------------------------------
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en la elaboración, revisión y traducción de éste boletín a:
* Jesús Ramón Jiménez Rojas (jrojas en seguridad unam mx
<mailto:jrojas en seguridad unam mx>).
------------------------------------------------------------------------
INFORMACIÓN
-----------
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.cert.org/advisories/CA-2003-08.html <
http://www.cert.org/advisories/CA-2003-08.html>
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
--
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
Lista de correo linux en opensource org mx
Preguntas linux-owner en opensource org mx
http://www.opensource.org.mx/