Descripción
Los sistemas Windows Comprometidos detectados han sido analizados y éstos han
presentado patrones similares de comportamiento. En la mayoría de los casos
los sistemas fueron comprometidos para instalar un IRC (Internet Relay Chat)
y un FTP, este último utilizado para establecer un sitio Warez (un
sitio para poder colocar y descargar música, videos y películas).
La forma de explotación de sistemas Windows reportada en las
últimas semanas en diversos equipos dentro de red UNAM y redes MX, es
a través de la
explotación de contraseñas débiles o nulas utilizando mecanismos de fuerza
bruta o herramientas que realizan ataques de diccionario.
Utilizando mecanismos automáticos para acceder a través de fuerza
bruta, y a su vez teniendo acceso al sistema, éste puede recibir
instrucciones para ser controlado de forma remota y de esta forma poder lanzar
ataques (por ejemplo ataques DDOS - Negación de Servicio
Distribuido) contra otras redes y sistemas mediante una serie de
herramientas y gusanos automatizados. También se han tenido reportes de que
se están explotando vulnerabilidades en sistemas sin actualizaciones
para obtener
acceso.
Una vez que el sistema es comprometido, el siguiente paso es utilizar
herramientas automatizadas para colocar un IRC o FTP. Una técnica muy común
para realizarlo es mediante un archivo compreso mediante la utilería
Winrar, a través de la característica de SFX. Un archivo SFX
(SelF-eXtracting) es un archivo fusionado con un módulo ejecutable, el cual es
utilizado para extraer archivos cuando es ejecutado.
De esta forma ningún programa externo es necesario para extraer el
contenido de un archivo SFX, y es suficiente para ejecutarlo. Un ejemplo de
las instrucciones que tienen este tipo de archivos son las siguientes:
;The comment below contains SFX script commands
Path=c:\winnt
SavePath
Setup=c:\winnt\wincache94\inst.bat
Silent=1
Overwrite=1
Donde:
Path: Establece la ruta de destino predeterminada donde se descomprimirá el archivo ejecutable.
Setup: Ejecuta el programa especificado tras una extracción correcta.
Silent: Omite el diálogo de inicio. El parámetro 1, inicia la extracción completamente oculta,
incluyendo la barra de progreso y los nombres de archivo.
Overwrite: Selecciona el modo de sobrescritura de archivos.
Utilizando esta técnica se ha creado y modificado varios rootkits para
Windows. Algunos ejemplos de estos son:
Kit.exe. Se descomprime en la carpeta c:\kit\ y al terminar
ejecuta algunos archivos bat, uno de esto mueve el contenido de
esta carpeta a c:\windows\system32\dap, además de descomprimir otros
ejecutables.
sksksk.exe. Se descomprime en el directorio c:\winnt\wincache94\, al
terminar de descomprimirse ejecuta diversos archivos.
bncundernet.exe. Se descomprime en c:\winnt\web\, al terminar ejecuta
un archivo bat el cual tiene las instrucciones necesarias para realizar
la instalación.
Es importante señalar que éstos archivos
tienen utilerías que son validas y por lo tanto no son
detectadas por las firmas antivirus. En el siguiente apartado se mencionarán
algunas de las utilerías comúnmente utilizadas.
II. Software Malicioso Instalado
Los archivos comunes para automatizar la instalación de IRCs, FTPS,
puertas traseras entre otros son los siguientes.
- FireDaemon
Utilería que permite instalar y
ejecutar virtualmente cualquier aplicación o script nativo de Win32 (por
ejemplo Batch/Cmd, Perl, Java, Python, TCL/TK) como un servicio de
Windows NT/2K/XP/2K3. Algunos de los posibles nombres con los
que se puede encontrar este
archivo son mssvchost.exe y firedaemon.exe.
Esta utilería utiliza dos
dll's las cuales son FireDaemonRT.dll y SvcAdmin.dll
- Iroffer
Es un servidor de archivos para IRC (comúnmente
referenciado como DDC bot). Utiliza la característica de IRC para enviar
archivos a otros usuarios. Iroffer se conecta a un servidor IRC y permite
a los usuarios requerir archivos del mismo. Requiere del archivo
cygwin1.dll para funcionar adecuadamente. Algunos de los posibles
nombres con los
que se puede encontrar este archivo son smss.exe y iroffer.exe.
- Serv-U FTP Server
Es un servidor de FTP con características completas que se
ejecuta en sistemas Windows para la compartición de archivos en Internet.
Algunos de los posibles nombres con los que se puede encontrar este archivo
son: sysmon.exe y
svchost.exe.
- Psybnc.exe
Programa muy parecido a un VNC. Se ejecuta en otro
servidor permitiendo realizar conexiones al mismo como
un servidor IRC, y a través
de él, conectarte a un verdadero servidor IRC o FTP utilizando la IP del
servidor donde se encuentra psybnc. Mediante un archivo de
configuración se puede asignar el puerto a utilizar,
además psybnc acepta una
serie de comandos con los cuales se puede asignar el puerto de ingreso,
listar o borrar servidores, entre otras características.
- hidden32.exe
Permite iniciar cualquier programa sin que aparezca su
ventana principal, permitiendo su ejecución en segundo plano. No es una
utilidad maliciosa, por tal motivo las firmas antivirus no la detectan como tal.
- DiskInfo.exe
Proporciona información sobre el tamaño de las
particiones y del espacio libre de todos los discos duros conectados a la maquina.
- Kill.exe
Utilidad que permite terminar procesos
proporcionándole un patrón en específico
o el PID (Identificador del Proceso) del proceso.
- Tar.exe
Utilería similar al tar de los sistemas Unix. Se utiliza
normalmente para empaquetar, desempaquetar, comprimir y descomprimir archivos.
- UnRAR.exe
Utilería para descomprimir archivos rar.
- Delsrv.exe
Permite eliminar un servicio a través del «Administrador
de control de servicios» de Windows.
- Psinfo.exe
Herramienta de línea de comandos que recolecta
información de un equipo local o remoto, incluyendo el tipo de
instalación, kernel, memoria física, procesador, versión del software, entre
otros datos.
- Pulist.exe
Herramienta de línea de comandos que muestra los
procesos en ejecución de un equipo local o remoto. Este comando
muestra el nombre del proceso y el ID de cada uno de estos,
además,
intenta obtener el nombre de usuario asociado a cada uno de los procesos.
- Servicelist.exe
Herramienta que proporciona los servicios disponibles
en el equipo local.
- Tlist.exe
Muestra una lista de IDs, nombres y procesos ejecutándose
sobre el equipo local.
- Uptime.exe
Herramienta de línea de comandos para calcular con
facilidad el tiempo de actividad del sistema. Utiliza los sucesos almacenados
en el Visor de Sucesos para calcular estas cifras.
- Unreal.rar
Archivo empaquetado con un Unreal.exe, el cual es un IRC
con diversas características.
- Whoami.exe
Herramienta de línea de comandos que muestra el dominio o
nombre del equipo y el usuario(s) que actualmente tiene establecida una
sesión.
Muestra el SID de usuarios y grupos, privilegios y el estado de los mismos.
- RebootNT.exe ó reboot.exe
Herramienta utilizada para reiniciar el Sistema
Operativo.
- Dameware
Aplicación empresarial de administración
de sistemas Windows NT/2000/XP, la cual proporciona una
colección integrada de utilerías de administración
remota.
- Archivos .bat
Utilizados para realizar la instalación y la configuración de los
programas como iroffer, firedaemon o FTP. En ocasiones, crean y aplican
configuraciones de plantillas de Windows.
- Archivos .ini
Contienen configuraciones de los programas IRC, FTP u otros.
III. Posibles Síntomas de un Sistema Comprometido
- Degradación en los recursos del sistema sin motivo aparente.
- Procesos fuera de lo común, sospechosos o con nombres raros.
- Discos duros con datos ocupando casi el 100% de su capacidad sin motivo alguno.
- Número elevado de puertos abiertos en el sistema.
- Generación de tráfico excesivo, ya sea entrante o saliente.
- Fallas continúas en conexiones a Internet o a la red.
- Eliminación de las bitácoras del equipo.
IV. Principales Razones del Compromiso de los Sistemas
- Contraseñas débiles.
Contraseñas en blanco, de longitudes pequeñas o débiles. Es muy común
que cuando se realiza una instalación se deje la cuenta de
administrador o de un usuario con permisos administrativos en blanco o con
contraseñas fáciles de obtener mediante ataques de
fuerza bruta o de diccionario. Además,
si las contraseñas son menores a 8 caracteres
aumenta el grado de probabilidad de que sean descifradas.
- Directorios y recursos compartidos de forma predeterminada.
Es muy común que se tengan que compartir recursos dentro de la
organización, pero muchas veces, estos recursos pueden ser descubiertos por
los intrusos a través de enumeraciones y de esta forma conocer
exactamente que recursos explotar. En el caso de la actividad reportada por el
UNAM-CERT, la mayoría de las veces, el problema se ocasionó porque los
usuarios comparten recursos a todos los usuarios y de esta forma, el intruso utiliza
este hecho para introducir sus puertas traseras y rootkits al sistema.
- Servicios instalados de forma predeterminada
Principalmente en sistemas Windows NT y 2000, es común que al
momento de realizar la instalación, se incluyan de forma predeterminada
servicios adicionales a los requerimientos mínimos del sistema; entre
los principales se encuentran el servicio Web IIS, Index Service,
Telnet, entre otros. Debido a la falta de medidas de seguridad, estos
servicios se mantienen ejecutándose sin supervisión alguna,
siendo de esta forma una puerta
abierta para los intrusos debido a las vulnerabilidades que
cada servicio
pueda tener.
- Falta de actualizaciones de seguridad
Uno de las formas preferidas por los intrusos para ingresar al
sistema, es la explotación de vulnerabilidades tanto del propio sistema como
de servicios y aplicaciones. A medida que se dejen de actualizar los
sistemas, se aumenta la probabilidad de que sea comprometido al
explotar estas vulnerabilidades. De igual forma, es necesario el uso de
software antivirus que sean capaces de identificar archivos infectados o de los
propios rootkits, pero si estos no son actualizados y no se realizan
escaneos periódicos, no serán de mucha utilidad.
- Uso de aplicaciones no confiables como P2P
El uso de aplicaciones para compartir archivos entre diferentes
usuarios (Kazaa, Warez P2P, Morpheus, etc.) ha aumentado las
posibilidades de que un equipo sea
comprometido, el problema principal radica en que los directorios son compartidos a
través de la red y los usuarios caen en el engaño de descargar archivos
para su uso pero sin percatarse que son archivos que pueden comprometer
al sistema.
- Falta de políticas de seguridad adecuadas
Finalmente, dentro de muchas organizaciones el problema radica en que a
pesar de contar con medidas de seguridad adecuadas, no existen
políticas que rijan el empleo adecuado del equipo de
cómputo y por lo mismo se presentan casos como
privilegios de administración para todos los usuarios, instalación de
aplicaciones y uso de recursos de forma inadecuada o mala organización en las
tareas administrativas de los encargados de los equipos.
Recomendaciones
El UNAM-CERT recomienda a todo usuario de cómputo llevar a cabo los
siguientes pasos para verificar la seguridad de los sistemas Windows
en sus versiones NT, XP, 2000 y 2003.
- Monitorear la existencia de puertos abiertos en el sistema y
compararlos con los mencionados en este análisis. Algunas de las
herramientas que pueden emplearse son las siguientes:
- Verificar puertos sospechosos realizando conexiones mediante telnet
para buscar posibles IRCs, FTPs o puertas traseras.
- Monitorear y verificar la validez de procesos sospechosos con
herramientas como:
- Aplicar políticas de contraseñas complejas, longitud mínima de 8
caracteres y deshabilitar una cuenta de usuario al tener 5 intentos fallidos
en la contraseña.
- Ejecutar y administrar de forma periódica algún software
antivirus.
- Deshabilitar todos los servicios que no sean necesarios y en el
caso de que alguno sea indispensable, se debería
aplicarle algún tipo de monitoreo.
- Auditar los intentos fallidos de inicio de sesión.
- Aplicar las actualizaciones de seguridad más recientes a los sistemas operativos, así
como a todos los servicios adicionales que estén ejecutándo.
- Implementar un firewall de perímetro de red o un firewall
personal.
- Cuando encuentre señales de intrusión, examine
todos los equipos en la red local. La mayoría de las veces, si un equipo ha sido
comprometido, otros en la red también lo están.
|
Aviso legal | Criditos
