Migliorato il supporto Conficker Scan in NMap
by admin on Apr.13, 2009, under Networking, Sicurezza, Tools
Nella nuova release di Nmap (4.85BETA7) è stato ulteriormente sviluppato il supporto alla rilevazione di macchine infettate dal worm Conficker.
Per la specifica scansione di ricerca per Conficker, si usa un comando tipo:
# nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 [target]
Una forma di comando adatta alla scansione di reti numerose può essere meglio definita, ad esempio:
# nmap -sC –script=smb-check-vulns –script-args=safe=1 -p445
-d -PN -n -T4 –min-hostgroup 256 –min-parallelism 64
-oA conficker_scan [target[/mask]]>
Volendo è possibile aumentare la velocità di scansione incrementando il valore dei parametri –min-hostgroup e –min-parallelism matenendoli in rapporto di 4:1. Non è raccomandabile oltrepassare 4096/1024. Si potrebbe anche cambiare -T4 in -T5, rischiando di perdere qualcosa in accuratezza.
E’ importante essere consapevoli che l’operazione di scansione specifica per Conficker comporta il (basso) rischio di mandare in crash un host non infetto cui non sia stata applicata la patch relativa alla vulnerabilità MS08-067. Gli hosts cui sia stata applicata la patch e quelli infetti invece non corrono questo rischio.
