terça-feira, 31 de março de 2009

Conficker - 01 de Abril - Como Identificar quem está infectado na sua rede?

O que será que o Conficker vai aprontar amanhã?
Será apenas uma mentira de 01 de Abril?

Em todo o caso devemos nos prevenir, foi descoberta uma falha no Conficker que faz com que ele seja descoberto através de requisições nas portas 139 e 445, com isso utilizando o software nMap(a última versão BETA) é possível identificar quais micros em sua rede estão com o Conficker hibernando e aguardando as tão "assustadoras" instruções que ele vai receber no dia 01 de Abril.

Usei a versão do nMap para Linux, pelo que vi a versão lançada para o Windows também atende, mas não testei muito e nem estudei maneiras de verificar o log automaticamente.

  1. Fazendo Download do nMap:

wget http://download.insecure.org/nmap-dist/nmap-4.85BETA5.tar.b

2. Extraindo:

bzip2 -cd nmap-4.85BETA5.tar.bz2 tar -xv

3. Instalando:

cd nmap-4.85BETA5


./configure

make

make install

Prontinho o nMap está instalado.

Agora vamos verificar um micro em específico:

nmap -PN -T4 -p139,445 -v --script=smb-check-vulns --script-args safe=1 172.X.0.0/32
ou
nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d 172.0.0.0

Vai aparecer a Seguinte Mensagem:

Host script results:
smb-check-vulns:
MS08-067: NOT RUN
Conficker: Likely CLEAN
_ regsvc DoS: NOT RUN (add --script-args=unsafe=1 to run)


Problemas:

MS08-067: VULNERABLE (Está sem a atualização da MS)

Conficker: INFECTED (Está infectado)

Agora vamos otimizar isso e verificar melhor o log que vocês vão perceber que retorna diversas informações:


nmap -PN -T4 -p139,445 -v --script=smb-check-vulns --script-args safe=1 172.X.X.X/16 egrep "(portsConficker)" grep -B1 "Conficker" > /root/VerificaConficker

Criei um Shell Script que fica verificando de tempo em tempo e me envia via e-mail:


#!/bin/bash### Elifas F. G. Fariasnmap -PN -T4 -p139,445 -v --script=smb-check-vulns --script-args safe=1 172.31.0.0/16 egrep "(portsConficker)" grep -B1 "Conficker" > /root/VerificaConficker


cat /root/VerificaConficker grep -B1 "INFECTED" > /root/Infectados

/usr/bin/mutt -s "Micros Infectados com o Conficker" elifas@gmail.com \ < /root/Infectados

Prontinho você vai receber por e-mail os micros hospedeiros do Conficker.

Postado por às
Marcadores: , , ,

Um comentário:

jeferson disse...

Quando executo somente o nmap -PN -T4 -p139,445 -v --script=smb-check-vulns --script-args safe=1 10.10.0.1/16, funciona de boa... mais quando tento executar o script completo, retorna este erro nmap: unrecognized option `-B1'.

Pode me ajudar?

12 de agosto de 2009 às 05:28

Postar um comentário

Assinar: Postar comentários (Atom)