VoIP and Hacking | Consulenza Documentazione

La minaccia costituita dal worm Conficker ci sta facendo assistere ultimamente ad alcuni episodi da “santa alleanza” tra il mondo del software open source e quello del software proprietario. L’ultimo ci rappresenta addirittura l’improbabile accostamento tra Fjodor e Peter Norton.
Un team di ricercatori di Symantec ha contribuito a sviluppare la capacità da parte di Nmap di rilevare il worm sui PC infetti utilizzando il medesimo protocollo P2P (peer-to-peer) che il malware sfrutta per comunicare con i suoi creatori.
Il team di Symantec ha collaborato con Ron Bowes, uno degli sviluppatori dello scanner Nmap, per trovare il modo di individuare le macchine infette da Conficker.c e dalla sua versione di upgrade, quel Conficker.e che ha iniziato a installare sui computers infetti anche lo spam bot Waledac.

Nmap 4.85 Beta 8, che è stato rilasciato il 21 Aprile, include uno script di Bowes in grado di individuare Conficker in base porte che utilizza per il P2P.
La maggior parte degli analisti ritiene che il P2P, apparso per la prima volta nella variante “c”, sia stata aggiunto come protocollo di backup per le comunicazioni di tipo command-and-control basate su HTTP.
Lo script va alla ricerca di porte in ascolto per il P2P di Conficker, tentando di stabilire un dialogo con esse. Se rispondono, lo script esamina le risposte.
Symantec ha contribuito a definire i tipi di risposta ottenibili dai Conficker bots.

Lo script non è affidabile al 100%, dato che firewalls e filtri potrebbero mascherare il rilevamento.
Esistono tuttavia dei work-arounds per alcune tra tali situazioni, che possono essere esaminati sul blog dell’autore.
Occorre inoltre tenere presente che le nuove versioni di Conficker hanno eliminato le caratteristiche che venivano precedentemente usate per il rilevamento tramite smb-check-vulns: di conseguenza sono stati aggiunti nuovi modi per rilevare le varianti più recenti del worm.

Intanto, prima che la prossima variante impari ad eludere queste nuove tecniche, un comando per scansionare velocemente un network alla ricerca di infezioni da Conficker è:

# nmap -p139,445 –script p2p-conficker,smb-os-discovery,smb-check-vulns –script-args checkconficker=1,safe=1 -T4 [target networks]

mentre, per una più lenta ma accurata scansione, è raccomandabile:

# nmap –script p2p-conficker,smb-os-discovery,smb-check-vulns -p- –script-args checkall=1,safe=1 -T4 [target networks]

Send post as PDF to