[imagem: infecções do conficker no mundo - fonte: Conficker Working Group][ 02/11/2009 - Update ]
No aniversario de um ano do Conficker, analistas da ShadowServer divulgaram que detectaram atraves de sinkhole servers mais de 7 milhoes de IPs unicos estao infectados atualmente com o worm, que apesar de nao estar mais chamando tanta atencao tem infectado no minimo 500.000 novos computadores por mes!
[ 08/05/2009 - Update ]
Hoje uma atualização está sendo feita nos milhares de computadores infectados com a variante .C do Conficker. Está sendo instalado um spambot (para envio de spam) e uma ferramenta de segurança falsa chamada Spyware Guard 2009 (dicas para remoção).
Com esta atualização, o objetivo de ganho financeiro dos criadores do Conficker fica bem claro, pois além do envio maciço de spams (que normalmente é um serviço contratado), a falsa ferramenta de segurança cobra $49.95 (quase cinquenta dólares) do usuário infectado para não fazer nada.
[ 01/04/2009 - Update ]
Vários acessos via buscas no Google tem chegado à este post sobre o Conficker. Foram mais de 700 IPs únicos no dia 31/03. Por este motivo irei sumarizar abaixo as informações mais procuradas. Caso você queira saber de mais detalhes sobre o Worm, desde seu surgimento, continue a ler os demais [ Updates ].
Informações Gerais:
Testes e Remoção:
Mais detalhes técnicos sobre o assunto, incluindo o funcionamento do worm e defesas propostas estão descritos nos Updates abaixo (listados do mais recente ao mais antigo):
[ 29/03/2009 - Update ]
Como os senhores sabem, estamos acompanhando o desenvolvimento do Conficker / DownadUp / Kido há algum tempo (vejam os updates no decorrer deste post).
É raro, mas hoje temos boas notícias sobre o Worm mais bem sucedido dos últimos tempos:
Algumas ferramentas inovadoras (e gratuitas) para auxiliar a detecção / contenção do Conficker foram disponibilizadas para download por pesquisadores da Universidade de Bonn na Alemanha. Veja também o post sobre o assunto do Dan Kaminsky - que auxiliou os pesquisadores.
Os alemães publicaram um paper bastante completo com vários detalhes e novidades sobre o Conficker - na série Know Your Enemy do Projeto HoneyNet.
Dê uma olhada nas novas ferramentas disponibilizadas, certamente se você é responsável pela segurança de uma rede grande, se interessará por várias delas:
c_lookups_20090401.txt
cibi.com.br -> 75.119.205.170
aasv.com.br -> 189.107.67.131
aebs.com.br -> 75.125.94.122
clts.com.br -> 201.81.16.57
uili.com.br -> 74.220.215.83
tiat.com.br -> 75.126.176.66
sesd.com.br -> 75.126.203.16
nesb.com.br -> 72.233.57.166
ctur.com.br -> 189.38.80.25
hkdf.com.br -> 200.199.201.32
piss.com.br -> 201.76.47.133
mapc.com.br -> 200.234.220.117
arre.com.br -> 74.52.178.66
bejo.com.br -> 200.234.196.100
eama.com.br -> 75.126.176.78
shou.com.br -> 66.135.39.22
dude.com.br -> 189.38.57.226
mapim.com.br -> 74.53.43.162
rahl.com.br -> 200.185.126.118
ekto.com.br -> 189.21.116.35
adpe.com.br -> 201.20.20.79
cgdp.com.br -> 66.135.42.153
yale.com.br -> 217.151.193.164
essa.com.br -> 82.98.86.169
gedd.com.br -> 209.162.188.193
jfly.com.br -> 200.234.196.208
inec.com.br -> 216.32.92.218
guru.com.br -> 189.1.1.232
dotl.com.br -> 200.185.109.100
uvcb.com.br -> 189.45.245.2
carz.com.br -> 200.98.197.8
ebcv.com.br -> 67.15.84.68
artz.com.br -> 70.85.168.173
kras.com.br -> 82.197.131.24
asac.com.br -> 200.234.200.125
cgam.com.br -> 201.48.251.238
lako.com.br -> 200.215.118.16
icia.com.br -> 200.155.10.120
gnac.com.br -> 198.106.36.245
ctbl.com.br -> 67.205.85.70
apbp.com.br -> 200.201.133.25
sier.com.br -> 200.229.199.197
mrbee.com.br -> 66.7.214.84
acip.com.br -> 201.76.50.48
winb.com.br -> 201.76.50.45
fria.com.br -> 64.38.46.204
rota.com.br -> 200.212.239.136
faem.com.br -> 200.98.196.20
c_lookups_20090402.txt
nabs.com.br -> 64.22.71.89
konb.com.br -> 208.97.180.123
sdbp.com.br -> 74.55.137.226
idda.com.br -> 200.234.196.88
lebl.com.br -> 70.85.180.226
hmvb.com.br -> 200.202.210.168
ncbb.com.br -> 82.98.86.171
sophy.com.br -> 200.219.245.132
oney.com.br -> 195.64.164.87
rptv.com.br -> 200.169.230.163
agos.com.br -> 200.234.200.30
hmvs.com.br -> 200.169.97.82
aapc.com.br -> 189.38.24.3
cshg.com.br -> 200.160.117.37
c_lookups_20090403.txt
gtbr.com.br -> 200.219.214.21
wrun.com.br -> 200.192.130.184
ricz.com.br -> 74.55.91.194
bhil.com.br -> 69.93.129.194
ziph.com.br -> 209.85.101.11
c_lookups_20090404.txt
tdma.com.br -> 64.38.46.203
ghap.com.br -> 200.234.196.144
damy.com.br -> 66.45.240.106
isexp.com.br -> 200.196.238.46
c_lookups_20090405.txt
edaj.com.br -> 70.84.37.212
mrol.com.br -> 66.7.202.150
ildv.com.br -> 74.55.65.190
bmlaw.com.br -> 200.234.196.177
evix.com.br -> 200.234.196.231
c_lookups_20090406.txt
ynai.com.br -> 200.234.200.30
inat.com.br -> 200.157.225.252
kwtv.com.br -> 189.126.193.11
mobs.com.br -> 69.89.31.103
c_lookups_20090407.txt
hong.com.br -> 200.143.10.138
iboa.com.br -> 70.85.181.50
c_lookups_20090408.txt
ictc.com.br -> 174.133.129.152
suun.com.br -> 200.169.230.165
ceem.com.br -> 200.234.220.47
nyhx.com.br -> 189.38.90.14
rrvm.com.br -> 200.234.200.89
c_lookups_20090409.txt
emtd.com.br -> 75.125.40.202
kria.com.br -> 200.154.100.210
pfoa.com.br -> 200.234.200.162
c_lookups_20090410.txt
tupy.com.br -> 200.193.75.1
gdurp.com.br -> 200.142.86.14
gbeb.com.br -> 204.3.187.130
c_lookups_20090411.txt
gata.com.br -> 66.154.35.211
mueb.com.br -> 74.53.178.114
theg.com.br -> 200.186.48.99
sesa.com.br -> 200.234.203.76
escd.com.br -> 200.234.196.102
jecp.com.br -> 200.226.246.22
bait.com.br -> 200.234.196.152
c_lookups_20090412.txt
mgbv.com.br -> 200.98.196.57
omaa.com.br -> 98.131.74.166
c_lookups_20090413.txt
wini.com.br -> 189.21.116.35
acir.com.br -> 189.50.206.9
c_lookups_20090414.txt
itix.com.br -> 67.228.166.162
kron.com.br -> 74.55.22.50
kruf.com.br -> 200.226.246.40
veda.com.br -> 208.113.213.132
c_lookups_20090415.txt
peek.com.br -> 67.205.45.53
qtec.com.br -> 67.19.213.82
pman.com.br -> 198.106.30.194
coll.com.br -> 208.109.252.178
c_lookups_20090416.txt
bnvc.com.br -> 74.53.3.4
keal.com.br -> 66.135.39.22
quer.com.br -> 174.133.228.82
ystv.com.br -> 200.98.197.2
kelf.com.br -> 82.98.86.167
c_lookups_20090417.txt
crsb.com.br -> 200.196.44.131
bmgi.com.br -> 74.55.201.34
etec.com.br -> 200.219.245.132
padd.com.br -> 208.43.200.244
cibi.com.br -> 75.119.205.170
c_lookups_20090418.txt
aasv.com.br -> 189.107.67.131
aebs.com.br -> 75.125.94.122
c_lookups_20090419.txt
clts.com.br -> 201.81.16.57
uili.com.br -> 74.220.215.83
tiat.com.br -> 75.126.176.66
c_lookups_20090420.txt
sesd.com.br -> 75.126.203.16
nesb.com.br -> 72.233.57.166
ctur.com.br -> 189.38.80.25
hkdf.com.br -> 200.199.201.32
piss.com.br -> 201.76.47.133
mapc.com.br -> 200.234.220.117
arre.com.br -> 74.52.178.66
c_lookups_20090421.txt
bejo.com.br -> 200.234.196.100
eama.com.br -> 75.126.176.78
shou.com.br -> 66.135.39.22
dude.com.br -> 189.38.57.226
mapim.com.br -> 74.53.43.162
rahl.com.br -> 200.185.126.118
c_lookups_20090422.txt
ekto.com.br -> 189.21.116.35
adpe.com.br -> 201.20.20.79
cgdp.com.br -> 66.135.42.153
yale.com.br -> 217.151.193.164
c_lookups_20090423.txt
essa.com.br -> 82.98.86.169
gedd.com.br -> 209.162.188.193
jfly.com.br -> 200.234.196.208
inec.com.br -> 216.32.92.218
guru.com.br -> 189.1.1.232
c_lookups_20090424.txt
dotl.com.br -> 200.185.109.100
uvcb.com.br -> 189.45.245.2
carz.com.br -> 200.98.197.8
ebcv.com.br -> 67.15.84.68
artz.com.br -> 70.85.168.173
c_lookups_20090425.txt
kras.com.br -> 82.197.131.24
c_lookups_20090426.txt
asac.com.br -> 200.234.200.125
c_lookups_20090427.txt
cgam.com.br -> 201.48.251.238
lako.com.br -> 200.215.118.16
icia.com.br -> 200.155.10.120
gnac.com.br -> 198.106.36.245
ctbl.com.br -> 67.205.85.70
apbp.com.br -> 200.201.133.25
sier.com.br -> 200.229.199.197
c_lookups_20090428.txt
mrbee.com.br -> 66.7.214.84
acip.com.br -> 201.76.50.48
winb.com.br -> 201.76.50.45
fria.com.br -> 64.38.46.204
rota.com.br -> 200.212.239.136
faem.com.br -> 200.98.196.20
nabs.com.br -> 64.22.71.89
c_lookups_20090429.txt
konb.com.br -> 208.97.180.123
sdbp.com.br -> 74.55.137.226
idda.com.br -> 200.234.196.88
lebl.com.br -> 70.85.180.226
c_lookups_20090430.txt
hmvb.com.br -> 200.202.210.168
ncbb.com.br -> 82.98.86.171
sophy.com.br -> 200.219.245.132
oney.com.br -> 195.64.164.87
rptv.com.br -> 200.169.230.163
agos.com.br -> 200.234.200.30
hmvs.com.br -> 200.169.97.82
aapc.com.br -> 189.38.24.3
[ 23/03/2009 - Update ]
No próximo dia primeiro (1o de Abril), a variante "C" do Conficker (que é a menos comum) irá modificar a forma de contactar os servidores de Command & Control do Worm (veja no FAQ abaixo) - não é esperado nenhum ataque específico neste dia.
Simplificando o que vai ocorrer é que as máquianas infectadas irão passar a utilizar um novo algorítmo que gera 500 domínios em 50.000 possíveis (versus os atuais 250 que já estão "marcados" pelos White Hats).
[ 16/03/2009 - Update ]
Novas versões do worm são criadas, e a Mcafee lançou um interessante documento PDF contendo dicas atualizadas de como detectar e remover o Conficker.
[ 13/02/2009 - Update ]
1 - A Microsoft, a ICANN e outros tomaram uma medida interessante no combate ao Worm Conficker - já que se trata de uma ameaça global muitíssimo bem sucedida que já infectou dezenas de milhares de computadores mundo afora, utilizando técnicas avançadas (veja o próximo ítem). O contra-ataque perfeito: Recompensa de U$ 250.000,00 - no estilo "Velho Oeste" para quem dedurar ou entregar o(s) autor(s) do worm (vivos ou mortos) ...
Antes de criticar, lembre-se: funcionou com o Sasser em 2005 (o artifício foi usado tb contra o Mydoom em 2004)
2 - Uma excelente análise do Conficker (variantes .A e .B) foi publicada no site da SRI - MUITO bem escrito... Vale a leitura! (Estão desconfiando que o autor é Ucraniano).
3 - A Microsoft registrou um redirecionador para o site que centraliza as informações sobre o worm: http://www.microsoft.com/conficker. O Sans Institute também está centralizando informações (de mais origens e por isto mais interessantes) sobre o worm no seguinte link: http://isc.sans.org/diary.html?storyid=5860
4 - A Microsoft está fazendo desde ontem o que a F-Secure já faz a mais de um mês - Divulgando uma lista dos domínios (.zip) que poderão ser usados para contactar o cérebro do Worm. A vantagem é que esta lista tem 113501 domínios, listados por variante e dias em que serão utilizados (de 01/10/2008 a 30/06/2009)
5 - Michael Ligh disponibilizou (código fonte e executável) um interessante utilitário chamado Downatool (funciona bem com o Wine), que serve para a) listar os domínios utilizados a cada dia; b) gerar os IPs a serem "atacados" com o mesmo algorítimo do Worm, c) mostrar os ranges de IPs que já entraram em blacklist por ação das entidades de segurança envolvidas no caso (CERT, Microsoft, Avira, Symantec, etc..)
[ 07/02/2009 - Updates ]
1 - O Conficker continua crescendo, e o Brasil agora é o segundo da lista de países com mais novas infecções (atrás somente da China). Uma boa explicação para isto é que o Brasil possui muitas cópias piratas de windows (xp,vista,...) e por isto milhares de máquinas sem atualizações de segurança.
2 - Até agora o impacto maior é a infecção dos mais de 15 milhões de máquinas, mas um impacto maior devido ao USO deste exército de máquinas não vai demorar, já que já se detectou uma associação entre o Conficker e a conhecida rede de Bots "ASPROX".
3 - Há um UPDATE interessante nos métodos de defesa, pois a OPENDNS se uniu à Kaspersky e agora está bloqueando os domínios utilizados pelo Conficker (gerados à cada dia pelo Worm).
Para mais informações de como utilizar o serviço da OpenDNS - e de quebra ter uma navegação mais rápida e segura - clique aqui.
4 - A Microsoft lançou dois guias de proteção ao Conficker, um para usuários domésticos, e outro para Administradores de T.I.
5 - Alguns detalhes técnicos das inovações utilizadas pelo Conficker, como o modelo de injeção na memória, para bypassar FW e HIPS - tem sido publicadas.
[ 15/01/2009 - Post Original ]
No último post sobre categorização de erros de programação relacionados à segurança de softwares, apontamos que não é fácil manter um nível adequado de segurança quando se desenvolve softwares complexos.
O problema:
A Microsoft não é exceção, e apesar das grandes evoluções com relação a segurança - incluindo uma abordagem madura de desenvolvimento seguro chamada "Secure Development Lifecycle (SDL)" - um erro de programação permitiu que hackers começassem no final de 2008 a explorar o "Server Service" via RPC (Remote Procedure Calls) em todas as versões do Windows (XP a 2008), sendo que em XP, 2000 e 2003 a exploração pode ser feita por um usuário não autenticado.
De volta ao passado:
Worms que se utilizam de exploits de RPC costumam ser muito bem sucedidos:
Sasser - http://www.secureworks.com/research/threats/sasser/
Blaster - http://www.cert.org/advisories/CA-2003-20.html
Depois destes dois, muita gente acreditou que seriam os últimos grandes "worms de rede". A lição é: Nunca diga nunca.
Complexidade + Conectividade:
Existe um post interessante na MSDN avaliando por que esta vulnerabilidade "passou batida" pelo processo de revisão de código e fuzz tests previstos no SDL - simplificando, a complexidade de uma função específica em C++ e a falta de controle estrito de seus argumentos em um loop permitiu a vulnerabilidade, que não é facilmente detectada por analisadores automatizados de qualidade de código.
Já em seu boletim de segurança MS08-67, publicado em 23/10/2008, a Microsoft alertou que a correção era emergencial e que a falha poderia ser exploradas transformar por WORM, pelas suas características e grande conectividade dos componentes envolvidos. Vale ressaltar que a vulnerabilidade já estava sendo utilizada por atacantes (até aquele momento, era um "0-day" - possivelmente muito valioso).
Simplicidade de Exploração:
Apenas duas horas depois da divlugação do boletim MS08-67, pesquisadores conseguiram codificar exploits 100% efetivos - dada a simplicidade de exploração da vulnerabilidade.
A partir de então, registrou-se um crescimento constante na exploração da vulnerabilidade (incluindo exploits públicos). Neste interim, o foco do mundo de segurança se voltou para outra vulnerabilidade crítica - desta vez afetando o Internet Explorer (MS08-78).
Enquanto isto os Worms (como o coreano Gimmiv) que exploram esta vulnerabiliade se sofisticaram, e nos últimos dias temos visto muitos alertas sobre o crescimento do WORM "Conficker" - também chamado de "Downadup" e "Kido".
Expansão Global:
O Worm Conficker / DownadUp está em plena expansão, em um ritmo de mais de um milhão de máquinas infectadas por dia (note que cada IP roteável na lista da F-Secure abaixo pode indicar uma rede com muitos computadores). O último cálculo feito indica que quase 4 milhões de máquinas estão infectadas, sendo que em suas análises iniciais, o Brasil era o segundo país com mais infecções!
Update (16/01/2009): A F-Secure divulgou novos números: 8976038 computadores infectados (9 milhões!) e 353495 endereços IPs envolvidos. A F-Secure detalhou mais tarde como chegou a estes números...
A Qualys divulgou que 30% dos computadores do mundo ainda estão vulneráveis ao vetor de exploração principal do WORM (Vuln. Windows RPC MS0867)
Sofisticação:
O Conficker / DownadUp utiliza algumas técnicas interessantes e bem sucedidas para garantir sua efetividade / propagação:
Além de explorar a vulnerabilidade RPC referente ao boletim MS08-67 (a) , ele :
(a) utiliza o exploit publicado pelo projeto metasploit, otimizando assim as taxas de infecções para diferentes versões e linguagens do Windows (usando fingerprinting smb).
(b) se copia para compartilhamentos sem senha,
(c) faz força bruta de senhas nos demais compartilhamentos (inclusive ADMIN$),
(d) se copia para dispositívos USB com uma interessante técnica de obsfuscação.
(e) se utiliza de métodos de engenharia social para se propagar
(f) impede a comunicação com vários sites de segurança/anti-virus para dificultar sua limpeza.
(g) utiliza nomes e extensões randômicas em seus arquivos, para evitar detecção
(h) usa técnicas de mudança de timestamp (iguala datas e horas de acesso/modificação/criação às do arquivo %System%\kernel32.dll)
(i) inicia um servidor HTTP em uma porta randômica da máquina infectada para garantir a atualização de seu código.
(j) Faz um hook na API NetpwPathCanonicalize para evitar que ele ou malware explore a vulnerabilidade RPC (MS08-67) novamente.
(k) Manda informações para seu dono de quantas máquinas conseguiu infectar (ex: 129 máquinas para a requisição "GET /search?q=129 HTTP/1.0") Mais info aqui.
(l) Utiliza uma variante simples do método "fast-flux" - garantindo a sobrevivência de atualizações (*)
* o endereço de atualização é escolhido dentre 250 possíveis dominios gerados por dia (seguindo um algorítimo interno). Desta forma o controlador do Worm precisa registrar apenas um destes domínios para comandar as maquinas (que consultam todos). A F-Secure aproveitou e registrou um dos domínios, conseguindo assim medir o tamanho do problema.
Identificação de Hosts Vulneráveis:
Uma sugestão minha para identificar o grau de infecção e quais IPs de uma rede local grande estão comprometidas: acompanhe HOJE E AMANHÃ as resoluções DNS para os domínios listados pela F-Secure ou registre em seu DNS interno os domínios utilizados pelo Worm, e faça com que eles resolvam um IP interno de um honeypot simples (ou deixe rodando um tcpdump que registre as tentativas de acesso ao domínio.
Defesa em profundidade:
1 - A mais óbvia defesa, esteja certo de que o PATCH - referente ao boletim MS08-67 - esteja aplicado em todas as máquinas sob sua responsabilidade.
2 - Esteja certo que as regras de Firewall estão com "default-deny" e bloqueand oacesso externo às portas 139/tcp e 445/tcp.
3 - Encontre e feche os compartilhamentos sem senha da sua rede antes do Worm
4 - Caso você tenha IDS/IPS internos, atualize suas regras e monitore pela tentativa de exploração desta vulnerabilidade.
5 - Usando uma solução SIM - Security Information Management, monitore os logs das suas máquinas Windows, usando regras de correlação para detectar a exploração da vulnerabilidade RPC MS08-067 e para detectar tentativas sucessivas de logon com falha (força bruta) em máquinas Vista e 2008.
6 - Inclua em seu Logon-Script alguma ferramenta de remoção automática do Conficker / DownadUp (F-secure F-Downadup.zip ou Microsoft Malicious Software Removal Tool).
7 - Desabilite USB Autoplay e Autorun em suas máquinas, e evite esta forma de propagação de vários malwares, dicas nestes links.
8 - Bloqueie (via dns, controle de conteúdo ou proxy) os possíveis domínios que serão utilizados futuramente (até o dia 16/01/2009) pelo Worm. Update (16/01/2009): A F-Secure divulgou o uma nova lista contendo 3749 domínios que podem ser utilizados pelo Worm até o dia 31/01/2009. Update 13/02/2009 - use esta lista de domínios mais atualizada (até 30/06/2009)
9 - Um bom anti-virus atualizado ajuda.
10 - Soluções de Segurança "In-The-Cloud" como a da Prevx, tem alardeado sucesso em bloquear todas as variantes deste Worm até o momento.
Hoje uma atualização está sendo feita nos milhares de computadores infectados com a variante .C do Conficker. Está sendo instalado um spambot (para envio de spam) e uma ferramenta de segurança falsa chamada Spyware Guard 2009 (dicas para remoção).
Com esta atualização, o objetivo de ganho financeiro dos criadores do Conficker fica bem claro, pois além do envio maciço de spams (que normalmente é um serviço contratado), a falsa ferramenta de segurança cobra $49.95 (quase cinquenta dólares) do usuário infectado para não fazer nada.
[ 01/04/2009 - Update ]
Vários acessos via buscas no Google tem chegado à este post sobre o Conficker. Foram mais de 700 IPs únicos no dia 31/03. Por este motivo irei sumarizar abaixo as informações mais procuradas. Caso você queira saber de mais detalhes sobre o Worm, desde seu surgimento, continue a ler os demais [ Updates ].
Informações Gerais:
- O Conficker (também chamado de DownadUp e Kido) é um Worm sofisticado que já infectou mais de 15 milhões de máquinas no mundo inteiro, desde Novembro de 2008.
- Ele explora máquinas Windows que não possuem a correção MS08-67 da Microsoft
- Outras formas de propagação são os compartilhamentos windows sem senha (ou com senhas fracas) e dispositivos externos como pendrives USB.
- Existem 3 variantes conhecidas até o momento (A, B e C), sendo que a variante C no dia de hoje (01/04) modificou sua forma de comunicação com seus criadores, antes eram gerados 250 domínios aleatóriamente, e para dificultar o bloqueio destes domínios a partir de hoje estão sendo gerados 50.000 domínios dentre os quais as máquinas infectadas tentam contactar 500.
Testes e Remoção:
- Para remoção do Conficker, acesse de uma máquina não infectada uma das ferramentas a seguir: [ F-Secure MSRT da Microsoft, SunBelt ] e execute na máquina afetada.
- Para verificar se seu computador está infectado, visite esta página e confira o resultado (serão carregadas imagens de domínios bloqueados pelas variantes do Conficker, caso você utilize proxy pode haver falso-negativo).
- Para detecção do Conficker em uma rede interna, hoje a melhor técnica é utilizar a última versão da ferramenta nmap (4.85BETA7), com os seguintes parâmetros: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [redes_alvo]. Caso você tenha uma rede grande para testar, veja aqui como utilizar output xml no nmap e um script em perl para facilitar o seu trabalho.
- Para mais dicas de como se proteger, procure ao final deste post o título "Defesa em profundidade".
Mais detalhes técnicos sobre o assunto, incluindo o funcionamento do worm e defesas propostas estão descritos nos Updates abaixo (listados do mais recente ao mais antigo):
[ 29/03/2009 - Update ]
Como os senhores sabem, estamos acompanhando o desenvolvimento do Conficker / DownadUp / Kido há algum tempo (vejam os updates no decorrer deste post).
É raro, mas hoje temos boas notícias sobre o Worm mais bem sucedido dos últimos tempos:
Algumas ferramentas inovadoras (e gratuitas) para auxiliar a detecção / contenção do Conficker foram disponibilizadas para download por pesquisadores da Universidade de Bonn na Alemanha. Veja também o post sobre o assunto do Dan Kaminsky - que auxiliou os pesquisadores.
Os alemães publicaram um paper bastante completo com vários detalhes e novidades sobre o Conficker - na série Know Your Enemy do Projeto HoneyNet.
Dê uma olhada nas novas ferramentas disponibilizadas, certamente se você é responsável pela segurança de uma rede grande, se interessará por várias delas:
- scs.zip - ferramenta de varredura de rede (scanner) que busca por máquinas infectadas com o conficker em redes internas (pré-requisitos: Python e biblioteca "Impacket"). Esta é a maior contribuição dos alemães - pois independentemente da forma de exploração (pen-drive infectado, compartilhamento de rede, vulnerabilidade RPC referente ao boletim MS08-67, etc..), o computador infectado irá responder de forma detectável (por isto é possível o fingerprinting) a mensagens RPC especialmente construídas para este fim - Isto se deve à forma que a função NetpwPathCanonicalize() passa a funcionar depois que o Conficker se instala na máquina.
- regnfile_01.exe / conficker_names.zip (código fonte) - ferramenta para encontrar arquivos e entradas de registro criados pelo Conficker (os nomes aparentemente randômicos são baseados no hostname da máquina).
- conficker_mem_killer.exe / memscan.zip (código fonte) - ferramenta que desinfecta a memória de máquinas com o Conficker.
- nonficker.zip / conficker_code.zip (código fonte) - ferramenta "vacina" para "enganar" o Conficker criando um mutex igual ao que é criado pelo Conficker (faz o código malicioso acreditar que a máquina já está infectada).
- downatool2 - nova ferramenta de geração de domínios que serão utilizados pelo Conficker (variantes A, B e C) Vale ressaltar que na variante "C" o ele pode gerar domínios brasileiros (.com.br)
- c_domains_april2009.zip - todos os domínios que serão utilizados pelo conficker variante C em abril.
- collisions_april - lista de colisões previstas para abril. A partir do próximo mês serão 5000 domínios gerados diariamente e além disto nesta variante os domínios podem possuir somente 4 letras, o efeito de colisão com domínios existentes será mais preocupante (imagine o dono de um domínio destes recebendo a comunicação de milhões de máquinas ao mesmo tempo..)
c_lookups_20090401.txt
cibi.com.br -> 75.119.205.170
aasv.com.br -> 189.107.67.131
aebs.com.br -> 75.125.94.122
clts.com.br -> 201.81.16.57
uili.com.br -> 74.220.215.83
tiat.com.br -> 75.126.176.66
sesd.com.br -> 75.126.203.16
nesb.com.br -> 72.233.57.166
ctur.com.br -> 189.38.80.25
hkdf.com.br -> 200.199.201.32
piss.com.br -> 201.76.47.133
mapc.com.br -> 200.234.220.117
arre.com.br -> 74.52.178.66
bejo.com.br -> 200.234.196.100
eama.com.br -> 75.126.176.78
shou.com.br -> 66.135.39.22
dude.com.br -> 189.38.57.226
mapim.com.br -> 74.53.43.162
rahl.com.br -> 200.185.126.118
ekto.com.br -> 189.21.116.35
adpe.com.br -> 201.20.20.79
cgdp.com.br -> 66.135.42.153
yale.com.br -> 217.151.193.164
essa.com.br -> 82.98.86.169
gedd.com.br -> 209.162.188.193
jfly.com.br -> 200.234.196.208
inec.com.br -> 216.32.92.218
guru.com.br -> 189.1.1.232
dotl.com.br -> 200.185.109.100
uvcb.com.br -> 189.45.245.2
carz.com.br -> 200.98.197.8
ebcv.com.br -> 67.15.84.68
artz.com.br -> 70.85.168.173
kras.com.br -> 82.197.131.24
asac.com.br -> 200.234.200.125
cgam.com.br -> 201.48.251.238
lako.com.br -> 200.215.118.16
icia.com.br -> 200.155.10.120
gnac.com.br -> 198.106.36.245
ctbl.com.br -> 67.205.85.70
apbp.com.br -> 200.201.133.25
sier.com.br -> 200.229.199.197
mrbee.com.br -> 66.7.214.84
acip.com.br -> 201.76.50.48
winb.com.br -> 201.76.50.45
fria.com.br -> 64.38.46.204
rota.com.br -> 200.212.239.136
faem.com.br -> 200.98.196.20
c_lookups_20090402.txt
nabs.com.br -> 64.22.71.89
konb.com.br -> 208.97.180.123
sdbp.com.br -> 74.55.137.226
idda.com.br -> 200.234.196.88
lebl.com.br -> 70.85.180.226
hmvb.com.br -> 200.202.210.168
ncbb.com.br -> 82.98.86.171
sophy.com.br -> 200.219.245.132
oney.com.br -> 195.64.164.87
rptv.com.br -> 200.169.230.163
agos.com.br -> 200.234.200.30
hmvs.com.br -> 200.169.97.82
aapc.com.br -> 189.38.24.3
cshg.com.br -> 200.160.117.37
c_lookups_20090403.txt
gtbr.com.br -> 200.219.214.21
wrun.com.br -> 200.192.130.184
ricz.com.br -> 74.55.91.194
bhil.com.br -> 69.93.129.194
ziph.com.br -> 209.85.101.11
c_lookups_20090404.txt
tdma.com.br -> 64.38.46.203
ghap.com.br -> 200.234.196.144
damy.com.br -> 66.45.240.106
isexp.com.br -> 200.196.238.46
c_lookups_20090405.txt
edaj.com.br -> 70.84.37.212
mrol.com.br -> 66.7.202.150
ildv.com.br -> 74.55.65.190
bmlaw.com.br -> 200.234.196.177
evix.com.br -> 200.234.196.231
c_lookups_20090406.txt
ynai.com.br -> 200.234.200.30
inat.com.br -> 200.157.225.252
kwtv.com.br -> 189.126.193.11
mobs.com.br -> 69.89.31.103
c_lookups_20090407.txt
hong.com.br -> 200.143.10.138
iboa.com.br -> 70.85.181.50
c_lookups_20090408.txt
ictc.com.br -> 174.133.129.152
suun.com.br -> 200.169.230.165
ceem.com.br -> 200.234.220.47
nyhx.com.br -> 189.38.90.14
rrvm.com.br -> 200.234.200.89
c_lookups_20090409.txt
emtd.com.br -> 75.125.40.202
kria.com.br -> 200.154.100.210
pfoa.com.br -> 200.234.200.162
c_lookups_20090410.txt
tupy.com.br -> 200.193.75.1
gdurp.com.br -> 200.142.86.14
gbeb.com.br -> 204.3.187.130
c_lookups_20090411.txt
gata.com.br -> 66.154.35.211
mueb.com.br -> 74.53.178.114
theg.com.br -> 200.186.48.99
sesa.com.br -> 200.234.203.76
escd.com.br -> 200.234.196.102
jecp.com.br -> 200.226.246.22
bait.com.br -> 200.234.196.152
c_lookups_20090412.txt
mgbv.com.br -> 200.98.196.57
omaa.com.br -> 98.131.74.166
c_lookups_20090413.txt
wini.com.br -> 189.21.116.35
acir.com.br -> 189.50.206.9
c_lookups_20090414.txt
itix.com.br -> 67.228.166.162
kron.com.br -> 74.55.22.50
kruf.com.br -> 200.226.246.40
veda.com.br -> 208.113.213.132
c_lookups_20090415.txt
peek.com.br -> 67.205.45.53
qtec.com.br -> 67.19.213.82
pman.com.br -> 198.106.30.194
coll.com.br -> 208.109.252.178
c_lookups_20090416.txt
bnvc.com.br -> 74.53.3.4
keal.com.br -> 66.135.39.22
quer.com.br -> 174.133.228.82
ystv.com.br -> 200.98.197.2
kelf.com.br -> 82.98.86.167
c_lookups_20090417.txt
crsb.com.br -> 200.196.44.131
bmgi.com.br -> 74.55.201.34
etec.com.br -> 200.219.245.132
padd.com.br -> 208.43.200.244
cibi.com.br -> 75.119.205.170
c_lookups_20090418.txt
aasv.com.br -> 189.107.67.131
aebs.com.br -> 75.125.94.122
c_lookups_20090419.txt
clts.com.br -> 201.81.16.57
uili.com.br -> 74.220.215.83
tiat.com.br -> 75.126.176.66
c_lookups_20090420.txt
sesd.com.br -> 75.126.203.16
nesb.com.br -> 72.233.57.166
ctur.com.br -> 189.38.80.25
hkdf.com.br -> 200.199.201.32
piss.com.br -> 201.76.47.133
mapc.com.br -> 200.234.220.117
arre.com.br -> 74.52.178.66
c_lookups_20090421.txt
bejo.com.br -> 200.234.196.100
eama.com.br -> 75.126.176.78
shou.com.br -> 66.135.39.22
dude.com.br -> 189.38.57.226
mapim.com.br -> 74.53.43.162
rahl.com.br -> 200.185.126.118
c_lookups_20090422.txt
ekto.com.br -> 189.21.116.35
adpe.com.br -> 201.20.20.79
cgdp.com.br -> 66.135.42.153
yale.com.br -> 217.151.193.164
c_lookups_20090423.txt
essa.com.br -> 82.98.86.169
gedd.com.br -> 209.162.188.193
jfly.com.br -> 200.234.196.208
inec.com.br -> 216.32.92.218
guru.com.br -> 189.1.1.232
c_lookups_20090424.txt
dotl.com.br -> 200.185.109.100
uvcb.com.br -> 189.45.245.2
carz.com.br -> 200.98.197.8
ebcv.com.br -> 67.15.84.68
artz.com.br -> 70.85.168.173
c_lookups_20090425.txt
kras.com.br -> 82.197.131.24
c_lookups_20090426.txt
asac.com.br -> 200.234.200.125
c_lookups_20090427.txt
cgam.com.br -> 201.48.251.238
lako.com.br -> 200.215.118.16
icia.com.br -> 200.155.10.120
gnac.com.br -> 198.106.36.245
ctbl.com.br -> 67.205.85.70
apbp.com.br -> 200.201.133.25
sier.com.br -> 200.229.199.197
c_lookups_20090428.txt
mrbee.com.br -> 66.7.214.84
acip.com.br -> 201.76.50.48
winb.com.br -> 201.76.50.45
fria.com.br -> 64.38.46.204
rota.com.br -> 200.212.239.136
faem.com.br -> 200.98.196.20
nabs.com.br -> 64.22.71.89
c_lookups_20090429.txt
konb.com.br -> 208.97.180.123
sdbp.com.br -> 74.55.137.226
idda.com.br -> 200.234.196.88
lebl.com.br -> 70.85.180.226
c_lookups_20090430.txt
hmvb.com.br -> 200.202.210.168
ncbb.com.br -> 82.98.86.171
sophy.com.br -> 200.219.245.132
oney.com.br -> 195.64.164.87
rptv.com.br -> 200.169.230.163
agos.com.br -> 200.234.200.30
hmvs.com.br -> 200.169.97.82
aapc.com.br -> 189.38.24.3
- Além disto, os pesquisadores alemães disponibilizaram assinaturas atualizadas do snort para detectar as variantes A e B do Conficker (para regras de IDS para a variante .C, siga este link)
Conficker.A
Conficker.A:y any -> $HOME_NET 445 (msg:
"conficker.a shellcode"; content: "|e8 ff ff ff ff c1|^|8d|N|10
80|1|c4|Af|81|9EPu|f5 ae c6 9d a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c
cc|IrX|c4 c4 c4|,|ed c4 c4 c4 94|&Conficker.Balert tcp any any -> $HOME_NET 445 (msg: "conficker.b shellcode";
content: "|e8 ff ff ff ff c2|_|8d|O|10 80|1|c4|Af|81|9MSu|f5|8|ae c6 9d
a0|O|85 ea|O|84 c8|O|84 d8|O|c4|O|9c cc|Ise|c4 c4 c4|,|ed c4 c4 c4
94|&
[ 23/03/2009 - Update ]
No próximo dia primeiro (1o de Abril), a variante "C" do Conficker (que é a menos comum) irá modificar a forma de contactar os servidores de Command & Control do Worm (veja no FAQ abaixo) - não é esperado nenhum ataque específico neste dia.
Simplificando o que vai ocorrer é que as máquianas infectadas irão passar a utilizar um novo algorítmo que gera 500 domínios em 50.000 possíveis (versus os atuais 250 que já estão "marcados" pelos White Hats).
- A SRI publicou um anexo com uma análise do Conficker.C
- A F-Secure publicou um FAQ sobre o Conficker e a data 01/04/2009
- uma linha do tempo atualizada de eventos relacionados foi publicada sobre o Conficker.
[ 16/03/2009 - Update ]
Novas versões do worm são criadas, e a Mcafee lançou um interessante documento PDF contendo dicas atualizadas de como detectar e remover o Conficker.
[ 13/02/2009 - Update ]
1 - A Microsoft, a ICANN e outros tomaram uma medida interessante no combate ao Worm Conficker - já que se trata de uma ameaça global muitíssimo bem sucedida que já infectou dezenas de milhares de computadores mundo afora, utilizando técnicas avançadas (veja o próximo ítem). O contra-ataque perfeito: Recompensa de U$ 250.000,00 - no estilo "Velho Oeste" para quem dedurar ou entregar o(s) autor(s) do worm (vivos ou mortos) ...
Antes de criticar, lembre-se: funcionou com o Sasser em 2005 (o artifício foi usado tb contra o Mydoom em 2004)
2 - Uma excelente análise do Conficker (variantes .A e .B) foi publicada no site da SRI - MUITO bem escrito... Vale a leitura! (Estão desconfiando que o autor é Ucraniano).
3 - A Microsoft registrou um redirecionador para o site que centraliza as informações sobre o worm: http://www.microsoft.com/conficker. O Sans Institute também está centralizando informações (de mais origens e por isto mais interessantes) sobre o worm no seguinte link: http://isc.sans.org/diary.html?storyid=5860
4 - A Microsoft está fazendo desde ontem o que a F-Secure já faz a mais de um mês - Divulgando uma lista dos domínios (.zip) que poderão ser usados para contactar o cérebro do Worm. A vantagem é que esta lista tem 113501 domínios, listados por variante e dias em que serão utilizados (de 01/10/2008 a 30/06/2009)
5 - Michael Ligh disponibilizou (código fonte e executável) um interessante utilitário chamado Downatool (funciona bem com o Wine), que serve para a) listar os domínios utilizados a cada dia; b) gerar os IPs a serem "atacados" com o mesmo algorítimo do Worm, c) mostrar os ranges de IPs que já entraram em blacklist por ação das entidades de segurança envolvidas no caso (CERT, Microsoft, Avira, Symantec, etc..)
[ 07/02/2009 - Updates ]
1 - O Conficker continua crescendo, e o Brasil agora é o segundo da lista de países com mais novas infecções (atrás somente da China). Uma boa explicação para isto é que o Brasil possui muitas cópias piratas de windows (xp,vista,...) e por isto milhares de máquinas sem atualizações de segurança.
2 - Até agora o impacto maior é a infecção dos mais de 15 milhões de máquinas, mas um impacto maior devido ao USO deste exército de máquinas não vai demorar, já que já se detectou uma associação entre o Conficker e a conhecida rede de Bots "ASPROX".
3 - Há um UPDATE interessante nos métodos de defesa, pois a OPENDNS se uniu à Kaspersky e agora está bloqueando os domínios utilizados pelo Conficker (gerados à cada dia pelo Worm).
Para mais informações de como utilizar o serviço da OpenDNS - e de quebra ter uma navegação mais rápida e segura - clique aqui.
4 - A Microsoft lançou dois guias de proteção ao Conficker, um para usuários domésticos, e outro para Administradores de T.I.
5 - Alguns detalhes técnicos das inovações utilizadas pelo Conficker, como o modelo de injeção na memória, para bypassar FW e HIPS - tem sido publicadas.
[ 15/01/2009 - Post Original ]
No último post sobre categorização de erros de programação relacionados à segurança de softwares, apontamos que não é fácil manter um nível adequado de segurança quando se desenvolve softwares complexos.
O problema:
A Microsoft não é exceção, e apesar das grandes evoluções com relação a segurança - incluindo uma abordagem madura de desenvolvimento seguro chamada "Secure Development Lifecycle (SDL)" - um erro de programação permitiu que hackers começassem no final de 2008 a explorar o "Server Service" via RPC (Remote Procedure Calls) em todas as versões do Windows (XP a 2008), sendo que em XP, 2000 e 2003 a exploração pode ser feita por um usuário não autenticado.
De volta ao passado:
Worms que se utilizam de exploits de RPC costumam ser muito bem sucedidos:
Sasser - http://www.secureworks.com/research/threats/sasser/
Blaster - http://www.cert.org/advisories/CA-2003-20.html
Depois destes dois, muita gente acreditou que seriam os últimos grandes "worms de rede". A lição é: Nunca diga nunca.
Complexidade + Conectividade:
Existe um post interessante na MSDN avaliando por que esta vulnerabilidade "passou batida" pelo processo de revisão de código e fuzz tests previstos no SDL - simplificando, a complexidade de uma função específica em C++ e a falta de controle estrito de seus argumentos em um loop permitiu a vulnerabilidade, que não é facilmente detectada por analisadores automatizados de qualidade de código.
Já em seu boletim de segurança MS08-67, publicado em 23/10/2008, a Microsoft alertou que a correção era emergencial e que a falha poderia ser exploradas transformar por WORM, pelas suas características e grande conectividade dos componentes envolvidos. Vale ressaltar que a vulnerabilidade já estava sendo utilizada por atacantes (até aquele momento, era um "0-day" - possivelmente muito valioso).
Simplicidade de Exploração:
Apenas duas horas depois da divlugação do boletim MS08-67, pesquisadores conseguiram codificar exploits 100% efetivos - dada a simplicidade de exploração da vulnerabilidade.
A partir de então, registrou-se um crescimento constante na exploração da vulnerabilidade (incluindo exploits públicos). Neste interim, o foco do mundo de segurança se voltou para outra vulnerabilidade crítica - desta vez afetando o Internet Explorer (MS08-78).
Enquanto isto os Worms (como o coreano Gimmiv) que exploram esta vulnerabiliade se sofisticaram, e nos últimos dias temos visto muitos alertas sobre o crescimento do WORM "Conficker" - também chamado de "Downadup" e "Kido".
Expansão Global:
O Worm Conficker / DownadUp está em plena expansão, em um ritmo de mais de um milhão de máquinas infectadas por dia (note que cada IP roteável na lista da F-Secure abaixo pode indicar uma rede com muitos computadores). O último cálculo feito indica que quase 4 milhões de máquinas estão infectadas, sendo que em suas análises iniciais, o Brasil era o segundo país com mais infecções!
Update (16/01/2009): A F-Secure divulgou novos números: 8976038 computadores infectados (9 milhões!) e 353495 endereços IPs envolvidos. A F-Secure detalhou mais tarde como chegou a estes números...
A Qualys divulgou que 30% dos computadores do mundo ainda estão vulneráveis ao vetor de exploração principal do WORM (Vuln. Windows RPC MS0867)
Sofisticação:
O Conficker / DownadUp utiliza algumas técnicas interessantes e bem sucedidas para garantir sua efetividade / propagação:
Além de explorar a vulnerabilidade RPC referente ao boletim MS08-67 (a) , ele :
(a) utiliza o exploit publicado pelo projeto metasploit, otimizando assim as taxas de infecções para diferentes versões e linguagens do Windows (usando fingerprinting smb).
(b) se copia para compartilhamentos sem senha,
(c) faz força bruta de senhas nos demais compartilhamentos (inclusive ADMIN$),
(d) se copia para dispositívos USB com uma interessante técnica de obsfuscação.
(e) se utiliza de métodos de engenharia social para se propagar
(f) impede a comunicação com vários sites de segurança/anti-virus para dificultar sua limpeza.
(g) utiliza nomes e extensões randômicas em seus arquivos, para evitar detecção
(h) usa técnicas de mudança de timestamp (iguala datas e horas de acesso/modificação/criação às do arquivo %System%\kernel32.dll)
(i) inicia um servidor HTTP em uma porta randômica da máquina infectada para garantir a atualização de seu código.
(j) Faz um hook na API NetpwPathCanonicalize para evitar que ele ou malware explore a vulnerabilidade RPC (MS08-67) novamente.
(k) Manda informações para seu dono de quantas máquinas conseguiu infectar (ex: 129 máquinas para a requisição "GET /search?q=129 HTTP/1.0") Mais info aqui.
(l) Utiliza uma variante simples do método "fast-flux" - garantindo a sobrevivência de atualizações (*)
* o endereço de atualização é escolhido dentre 250 possíveis dominios gerados por dia (seguindo um algorítimo interno). Desta forma o controlador do Worm precisa registrar apenas um destes domínios para comandar as maquinas (que consultam todos). A F-Secure aproveitou e registrou um dos domínios, conseguindo assim medir o tamanho do problema.
Identificação de Hosts Vulneráveis:
Uma sugestão minha para identificar o grau de infecção e quais IPs de uma rede local grande estão comprometidas: acompanhe HOJE E AMANHÃ as resoluções DNS para os domínios listados pela F-Secure ou registre em seu DNS interno os domínios utilizados pelo Worm, e faça com que eles resolvam um IP interno de um honeypot simples (ou deixe rodando um tcpdump que registre as tentativas de acesso ao domínio.
Defesa em profundidade:
1 - A mais óbvia defesa, esteja certo de que o PATCH - referente ao boletim MS08-67 - esteja aplicado em todas as máquinas sob sua responsabilidade.
2 - Esteja certo que as regras de Firewall estão com "default-deny" e bloqueand oacesso externo às portas 139/tcp e 445/tcp.
3 - Encontre e feche os compartilhamentos sem senha da sua rede antes do Worm
4 - Caso você tenha IDS/IPS internos, atualize suas regras e monitore pela tentativa de exploração desta vulnerabilidade.
5 - Usando uma solução SIM - Security Information Management, monitore os logs das suas máquinas Windows, usando regras de correlação para detectar a exploração da vulnerabilidade RPC MS08-067 e para detectar tentativas sucessivas de logon com falha (força bruta) em máquinas Vista e 2008.
6 - Inclua em seu Logon-Script alguma ferramenta de remoção automática do Conficker / DownadUp (F-secure F-Downadup.zip ou Microsoft Malicious Software Removal Tool).
7 - Desabilite USB Autoplay e Autorun em suas máquinas, e evite esta forma de propagação de vários malwares, dicas nestes links.
8 - Bloqueie (via dns, controle de conteúdo ou proxy) os possíveis domínios que serão utilizados futuramente (até o dia 16/01/2009) pelo Worm. Update (16/01/2009): A F-Secure divulgou o uma nova lista contendo 3749 domínios que podem ser utilizados pelo Worm até o dia 31/01/2009. Update 13/02/2009 - use esta lista de domínios mais atualizada (até 30/06/2009)
9 - Um bom anti-virus atualizado ajuda.
10 - Soluções de Segurança "In-The-Cloud" como a da Prevx, tem alardeado sucesso em bloquear todas as variantes deste Worm até o momento.
