jueves, 29 de enero de 2015

nmap: localizando confiker (gusano informático)


Por allá por el 2008 hace ya muchos años que apareció el gusano conficker, el cual me he seguido encontrando cada vez menos pero por algún lado se ha encontrado ya que aún existen ecosistemas de red antiguos que ni se han renovado ni se van a renovar en un tiempo. Este gusano tiene varios métodos de propagación..




  • Auto-Propagación por Internet: Aprovechándose de la vulnerabilidad CVE-2008-4250, la cual ya fue solucionada por Microsoft el paso Octubre con el parche MS08-067
  • Auto-Propagación por Red Interna: A través de carpetas compartidas en red protegidas con contraseñas débiles, Conficker tiene la capacidad de ir infectando a toda nuestra red en solo minutos.
  • Auto-Propagación por USB: Mediante cualquier dispositivo de almacenamiento extraíble por USB (Pendrives, Flashmemory, Cámaras, discos duros, etc..) creando un archivo autorun.inf infectado cuya acción sea autoejecutar la copia del gusano cada vez que conectamos el dispositivo extraíble a un PC.

  • una vez vistos hay que ver sus síntomas y hay que seguir pasos precisos para eliminarlo completamente como nos indican en forospyware o Kaspersky

    Al ser un gusano muy escurridizo nos podemos vamos a valer de nmap para detectar el problema al entrar en una nueva red. Nmap mediante este script podemos analizar la red en busca de ordenadores infectados como indica en su web

    Una vez visto extraemos un ejemplo el cual nos permite escanear toda la red en busca del conficker y al final indicamos dependiendo en la subred que estemos, en el caso del ejemplo "192.168.1.0/24".

    nmap -p139,445 -vv --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args=checkconficker=1,safe=1 -T4 192.168.1.0/24
    

    Como se ve escanea todo los posibles hosts.




    Una vez escaneados y localizados los hosts existentes inicia el escaneo uno a uno en busca de los hosts infectados.





    Al final, se muestra un pequeño resumen.





    Y por último si queremos un escaneo, mas completo y lento iniciamos el siguiente script.


    nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args=checkall=1,safe=1 -vv -T4 192.168.1.0/24
    

    Una vez localizado, iniciaremos los pasos para la eliminación de los equipos, para ello podemos seguir los pasos que nos indican en forospyware o en kaspersky.