Conficker/Downadup : Détection
Posted by Gutek in Sécurité, tags: conficker, Nmap, smb, vulnérabilité
La variante C du vers Conficker, qui est censée se déclencher le 1er Avril, était jusqu’à présent difficilement détectable de par son caractère dormant. Seuls de très rares outils de désinfection permettaient de le déceller poste à poste.
Néanmoins le problème se pose si il s’agit de détecter et nettoyer des réseaux composés de nombreuses machines. C’est pourquoi depuis ce week end les plus grands acteurs de la détection réseaux se sont penchés sur le problème pour aboutir à une signature.
C’est ainsi que les gens de Nmap, McAfee et Nessus (Tenable) ont planché sur l’établissement de plugins de signatures sur l’impulsion de Dan Kaminsky qui, le premier, a trouvé la petite modification infime opérée par le vers sur le système d’exploitation. Plus précisement, au niveau de smb dans le cadre du partage de fichiers au moment du process de pre-authentification.
Les plugins ne vont pas tarder à sortir dans les heures qui viennent, de facon à permettre aux admins de tester l’intégriter de leurs réseaux.
D’hors et déjà, voici celui de Nmap : le choix à été fait d’un plugin sous forme de script NSE (Nmap Scripting Engine), simple à lancer :
- télécharger le script et deux libs LUA :
script : smb-check-vulns.nse
ATTENTION ! ce script est extrèmement intrusif et les tests actuellement montrent un danger réel de crasher le système cible en particulier si celui ci est atteint. Dans un environement de production, son utilisation est un réel choix à faire en connaissance de cause.
Sur 82 systèmes testés vulnérables, 52 ont crashé.
Le script lance trois tests :
- Infection Conficker
- Vulnérabilité à regsvc DoS (exclu Nmap, rapportée à Microsoft sous le ID MSRC8742)
USAGE :
- copier smb-check-vulns.nse dans le dossier de sciprts de Nmap (/scripts/)
- copier les deux libs dans le dossier de Nmap /nselib/
- lancer la commande nmap –script smb-check-vulns.nse -p445 <host>
Exemple de résultat :
-- Host script results: -- | smb-check-vulns: -- | MS08-067: FIXED -- | Conficker: Likely INFECTED -- |_ regsvc DoS: VULNERABLE
D’ici une heure ou deux Nmap.org sortira une mise à jour officielle, la v4.85 BETA5 qui intègrera directement cette empreinte.
[Breaking News]
Au moment où j’écris ceci, les tests sont en cours pour sortir au plus vite un update pour Nmap. Pardon donc de vous le lancer “comme ca”, c’est chaud, c’est sur le feu…
(o) On note ce genre de résultat d’erreur : Conficker: ERROR: NT_STATUS_OBJECT_NAME_NOT_FOUND
ceci est dû soit à une machine du réseau qui n’est pas un Windows, soit à une machine infectée que le test à fait crasher.
(o) Préférez lancer la détection par cette ligne de commande :
nmap -p 445 -d --script smb-check-vulns --script-args safe=1 <host>
Ceci va éviter le tests regsvc DoS, qui est vraiment dangereux pour les sytèmes vulnérables.
(o) Nmap v4.85 BETA5 online :
http://nmap.org/dist/nmap-4.85BETA5.tar.bz2 (LINUX)
http://nmap.org/dist/nmap-4.85BETA5-setup.exe ( WINDOWS)
(o) Meilleure commande pour les grands réseaux ( >200 hosts) :
nmap -sC --script=smb-check-vulns --script-args=safe=1 -p445 -d -PN -n -T4
--min-hostgroup 256 --min-parallelism 64
-oA conficker_scan <your network(s) here>
Entries (RSS)
Nice April Fool
sans blague !
Nmap 4.85BETA6 est en release. Vous pouvez avoir le détail du fonctionnement du script de détection ici :
http://nmap.org/nsedoc/scripts/smb-check-vulns.html