VoIP and Hacking | Consulenza Documentazione

C’è una importante novità sul fronte della lotta al worm Conficker: per la prima volta, gli amministratori di tutto il mondo hanno a disposizione dei comodi tools in grado di identificare le macchine del proprio network che siano state contaminati dal worm.
E’ stato rilasciato nmap 4.85Beta5, con integrata la logica di rilevamento per Conficker.
Una volta compilato ed installato da sorgente, la scansione adatta al nostro scopo è qualcosa come:

# nmap -PN -d -p 445 –script=smb-check-vulns –script-args=safe=1 <target>[/<mask>]

Fino ad oggi vi erano solo due modi per individuare la presenza di Conficker, e nessuno dei due agevole. Uno era quello di monitorare le connessioni in uscita dalla rete per ciascun computer, un approccio che ha provato di essere molto difficile da applicare per organizzazioni dotate di grandi parchi macchine. Con la comparsa della variante C di Conficker C, tra l’altro il monitoraggio del traffico è diventato meno utile dato che il malware è stato programmato per rimanere dormiente fino al primo di Aprile.
L’unico altro metodo per identificare i computers infettati da Conficker consisteva nello scansionarli individualmente uno per uno, un altro approccio ugualmente oneroso da mettere in pratica.
La svolta è avvenuta venerdì pomeriggio grazie a Dan Kaminsky, un ricercatore in campo security che si era già reso famoso per aver scoperto una grave vulnerabilità del DNS, esaminando i dati che i membri dello Honeynet Project avevano raccolto sul worm. Insieme a Tillmann Werner e Felix Leder, membri del progetto, Kaminsky è riuscito ad osservare che Conficker modifica il modo in cui un piccolo pezzo del sistema operativo Windows si comporta. La differenza di comportamento, localizzabile nelle routines di pre-autenticazione, prima che gli utenti introducano le passwords di file-sharing, rende semplice l’identificazione proprio per i cambiamenti nel modo in cui la macchina si presenta in rete.
La scoperta del fingerprint, che teoricamente potrebbe essere il passo decisivo per debellare il worm, alla vigilia della tanto attesa scadenza del primo Aprile, apre pure ad una ipotesi inquietante: l’autore del worm potrebbe di conseguenza decidere di attivare un payload più devastante di quanto avesse programmato di fare nella circostanza.

La ricerca nell’ambito della quale è stata fatta la scoperta è documentata nel pdf “Know Your Enemy: Containing Conficker”, a firma sempre di Felix Leder e Tillmann Werner, accessibile all’indirizzo http://www.honeynet.org/files/KYE-Conficker.pdf

Send post as PDF to