| CAIS-ALR-12032001Aumento de Scans e Novas Ferramentas [CAIS, 12.03.2001, revisão 01] O CAIS informa que tem observado um aumento significativo de alguns tipos particulares de "scans". Tal aumento é interpretado como conseqüência direta do lançamento, primeiro, de uma nova ferramenta de scan chamada SHARESNIFFER e, segundo, da versão atualizada do já famoso SUBSEVEN. A ferramenta SHARESNIFFER, www.sharesniffer.com, aparenta ser uma alternativa ao NAPSTER, mas na verdade é um aplicativo que procura na rede por computadores com sistemas Windows cujas opções de share foram inadequadamente configuradas. A alegação de que "o acesso a computadores com share aberto é livre", tal como é proclamado no próprio site da ferramenta, não pode ser aceita. Como pode ser observado através dos logs gerados por uma Log do snort 1.7: [**] High False Rule – IDS177 NETBIOS-SMB-Name-Query [**] Log do Cisco: Mar 11 21:35:33 polaris 897819: Mar 11 21:35:32 GMT-3: Assim também, pode-se notar que os pacotes utilizados no processo de scan utilizam a mesma porta de origem/destino. A segunda ferramenta, na verdade, uma nova versão do SUBSEVEN, pode ser encontrada em http://www.sub7files.com. Os acessos estão seguindo o padrão de busca pela porta 27374. Deve-se lembrar que esta porta pode ser facilmente alterada, assim como nos outros trojans mais famosos como o NETBUS(12345) e BACKORIFICE(31337). Log do Snort 1.7: [**] IDS279 – BACKDOOR SIGNATURE – SubSeven 2.1 FTP Enabled Sent from Server! [**] O log acima mostra que a rede possui, provavelmente, uma máquina infectada com o trojan. O log abaixo mostra uma linha típica de acesso negado gerada pelo Log do Cisco: Mar 3 23:18:34 polaris 590015: Mar 3 23:18:33 GMT-3: Uma análise completa da nova versão do SUBSEVEN pode ser encontrada em: http://www.tlsecurity.net/backdoor/Subseven.2.2.html O CAIS encontra-se a disposição para esclarecimentos. | Contato com o Cais: +55 (19) 3787-3300 |