Conficker scan in Phyton
by admin on Apr.06, 2009, under Hacking, Sicurezza, Tools
Come gia visto in un precedente post a proposito di nmap, una possibile opzione per individuare le macchine infette dal worm Conficker è quella di scansionarle.
Vi è modo di distinguere le macchine infette da quelle che non lo sono basato sul codice di errore generato in presenza di alcuni messaggi RPC adeguatamente confezionati. Conficker tenta di filtrare un potenziale nuovo exploit, dando origine a risposte anomale.
L’istituto di Computer Science dell’Università di Bonn ha sviluppato e reso disponibile sotto GPL due scripts python (scs.py e scanner.php) che implementano un semplice scanner basato su tale osservazione.
Il primo è destinato alla scansione di un range di indirizzi, compreso fra iniziale e finale, mentre il secondo prevede un singolo target.
Per poter essere utilizzati, gli script hanno bisogno, oltre che dell’interprete, anche dei packages python-pcapy, una estensione Python che si interfaccia con la libreria libpcap per la cattura dei pacchetti, e python-impacket, che è una collezione di classi Python classes mirata a facilitare la costruzione e la decodifica di pacchetti di rete. Essa include il supporto a protocolli come IP, UDP e TCP, ma anche a protocolli di più alto livello, come NMB e SMB.
Un semplice output di esempio:
# ./scanner.py 151.61.111.12
———————————-
Simple Conficker Scanner
———————————-
scans selected network ranges for
conficker infections
———————————-
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
———————————-
151.61.111.12: Windows 5.1 [Windows 2000 LAN Manager]
151.61.111.12: Seems to be infected by Conficker!
# ./scs.py 127.36.15.80 127.36.15.83
———————————-
Simple Conficker Scanner
———————————-
scans selected network ranges for
conficker infections
———————————-
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
———————————-
127.36.15.80: [Windows 2000 2195]
127.36.15.80: Seems to be clean.
127.36.15.81: [Windows 2000 2195]
127.36.15.81: Seems to be clean.
127.36.15.82: [Windows 2000 2195]
127.36.15.82: Seems to be clean.
127.36.15.83: [Windows 2000 2195]
127.36.15.83: Seems to be clean.
