Bien, mis queridos (???) lectores, es pasada medianoche y está lloviendo. Es el clima ideal para estar durmiendo y no redactando esta nota. Pero acá estoy, sirviendo al bien común, como siempre (???) Nunca aprendo parece….
¿Qué tienen que ver Conficker, un malvado gusano que se la pasa infectando PCs con Windows, y Nmap, el bonito y buen escanner?
Bueno resulta que la gente de HoneyNet Project (Tillmann Werner y Felix Leder) descubrieron una manera de detectar remotamente infecciones de Conficker.
¿Y qué pasa con esto se preguntan?
Bueno, hay una herramienta como prueba de concepto de la gente de HoneyNet Project. Debería funcionar con todas las variantes de Conficker. Esto no garantiza que se detecten todas las infecciones, pero es una buena manera de reducir el riesgo. Se recomienda escanear urgente si tienen la ligera impresión de estar infectados.
¿Y qué tiene que ver el pobre nmap con todo esto?
Parece que Conficker intenta parchear la vulnerabilidad MS08-067 (que es la que usa para infectar) cuando infecta un equipo así nadie más puede aprovecharla para meterse. Bueno, este parcheo que hace no es perfecto, y produce una respuesta particular ante un escaneo. Sí, esto significa que puede saberse si un equipo está infectado con solo escanearlo.
Resulta que surgió la idea de incluir este tipo de escaneo en la lista nmap-dev, y terminó como parte del script smb-check-vulns de nse.
Si leyeron el thread de nmap-dev habrán visto que Ron se encargó del trabajo sucio. También escribió una linda nota en su blog, la cual voy a utilizar para explicarles cómo usar esto.
Para poder utilizar este escaneo con nmap podes bien o actualizar desde el SVN o instalar el ultimo paquete beta recién salido del horno.
Actualizar desde SVN
Si estás en un sistema tipo UNIX, probablemente esta sea la manera más fácil. Hay dos maneras, system-wide y directorio local, la que más convenga.
system-wide:
$ svn co --username=guest --password='' svn://svn.insecure.org/nmap $ cd nmap $ ./configure && make $ sudo make install $ nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d <target>
directorio local:
$ svn co --username=guest --password='' svn://svn.insecure.org/nmap $ cd nmap $ ./configure && make $ export NMAPDIR=. $ ./nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d <target>
Solo actualizando los archivos:
Si estás en Windows, o no querés compilar los fuentes, podes simplemente instalar estos tres datafiles:
Primero, asegurate que estas corriendo Nmap 4.85beta4 (que era la ultima beta hasta hace un rato :p). Después bajate este archivo:
Y ponelo en el directorio scripts (fijate abajo).
Después bajate estos archivos:
Y ponelo en el directorio nselib (ver abajo).
¿Dónde están estos diretorios?
En Linux fijate /usr/share/nmap/ o /usr/local/share/nmap, o /opt/share/nmap.
En Windows, proba c:\program files\nmap
Si no los encontrás, el directorio scripts tiene archivos .nse y nselib tiene archivos .lua. Fijate buscando los archivos smb-check-vulns.nse y msrpc.lua, y reemplazalos.
Nmap 4.85BETA5
Como era de esperar, Fyodor no se hizo esperar mucho para liberar una nueva beta, la 4.85Beta5 con todos los scripts necesario para escanear a Conficker incluidos, que pueden bajar como siempre de http://nmap.org/download.html.
Ejemplo de uso
nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d <equipo a escanear>
Adicionalmente, los usuarios de windows, lo tienen un poco más fácil (pero no más divertido XD).
1° de Abril
El 1° de Abril se supone que Conficker recibirá un update. Muchos piensan que el mundo se teminará, otros más realistas (o menos, quién sabe) piensan que ese update podría invalidar este tipo de detección. Así que apúrense a escanear sus redes, tienen menos de 24 horas XD
Más información:
- http://www.nmap.org
- http://www.skullsecurity.org
- http://securosis.com
- http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker
- http://www.doxpara.com
