RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

CAIS-ALR-12032001

Aumento de Scans e Novas Ferramentas

[CAIS, 12.03.2001, revisão 01]


O CAIS informa que tem observado um aumento significativo de alguns tipos particulares de "scans". Tal aumento é interpretado como conseqüência direta do lançamento, primeiro, de uma nova ferramenta de scan chamada SHARESNIFFER e, segundo, da versão atualizada do já famoso SUBSEVEN.

A ferramenta SHARESNIFFER, www.sharesniffer.com, aparenta ser uma alternativa ao NAPSTER, mas na verdade é um aplicativo que procura na rede por computadores com sistemas Windows cujas opções de share foram inadequadamente configuradas. A alegação de que "o acesso a computadores com share aberto é livre", tal como é proclamado no próprio site da ferramenta, não pode ser aceita.

Como pode ser observado através dos logs gerados por uma
ferramenta de detecção de intrusão e pelo próprio roteador, a procura é randômica, isto é, a escolha dos IPs é aleatória, não necessariamente contra uma máquina Windows. Vejam:

Log do snort 1.7:

[**] High False Rule – IDS177 NETBIOS-SMB-Name-Query [**]
03/12-07:14:15.631318 xxx.yyy.zzz.www:137 – aa.bbb.ccc.98:137
UDP TTL:102 TOS:0x0 ID:53786 IpLen:20 DgmLen:78
Len: 58

Log do Cisco:

Mar 11 21:35:33 polaris 897819: Mar 11 21:35:32 GMT-3:
%SEC-6-IPACCESSLOGP: list 101 denied udp xxx.yyy.zzz.www(137) – aaa.bbb.ccc.141(137), 1 packet
Mar 11 21:59:04 polaris 898315: Mar 11 21:59:03 GMT-3:
%SEC-6-IPACCESSLOGP: list 101 denied udp xxx.yyy.zzz.www(137) – aaa.bbb.ccc.131(137), 1 packet

Assim também, pode-se notar que os pacotes utilizados no processo de scan utilizam a mesma porta de origem/destino.

A segunda ferramenta, na verdade, uma nova versão do SUBSEVEN, pode ser encontrada em http://www.sub7files.com. Os acessos estão seguindo o padrão de busca pela porta 27374. Deve-se lembrar que esta porta pode ser facilmente alterada, assim como nos outros trojans mais famosos como o NETBUS(12345) e BACKORIFICE(31337).

Log do Snort 1.7:

[**] IDS279 – BACKDOOR SIGNATURE – SubSeven 2.1 FTP Enabled Sent from Server! [**]
03/12-13:47:47.057886 xxx.yyy.zzz.www:2703 – aaa.bbb.ccc.ddd:21
TCP TTL:64 TOS:0x0 ID:42580 IpLen:20 DgmLen:409 DF
***AP*** Seq: 0xBB6A04A Ack: 0xFD297211 Win: 0x7D78 TcpLen: 32
TCP Options (3) = NOP NOP TS: 17786841 4122435

O log acima mostra que a rede possui, provavelmente, uma máquina infectada com o trojan.

O log abaixo mostra uma linha típica de acesso negado gerada pelo
roteador cisco para a porta padrão do trojan.

Log do Cisco:

Mar 3 23:18:34 polaris 590015: Mar 3 23:18:33 GMT-3:
%SEC-6-IPACCESSLOGP: list 101 denied tcp xxx.yyy.zzz.www(4597) -
aaa.bbb.ccc.ddd(27374), 1 packet

Uma análise completa da nova versão do SUBSEVEN pode ser encontrada em:

http://www.tlsecurity.net/backdoor/Subseven.2.2.html

O CAIS encontra-se a disposição para esclarecimentos.



Centro de Atendimento a Incidentes de Segurança

Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais