RNP > Serviços > Segurança em redes > Alertas do CAIS

CAIS-ALR-19092001

Ameaça do Nimda Worm

[CAIS, 19.09.2001, revisão 01]

Resumo

O CAIS está reportando a existência de uma nova e séria ameaça provocada por um worm que foi chamado de NIMDA (anagrama da palavra 'ADMIN'). Ainda se tem poucas informações sobre ele, mas sabe-se que este worm oferece mais riscos que seus antecessores.

***Solicita-se especial atenção à seção 7: Recomendações do CAIS***

1. Detalhes

O worm Nimda explora uma série de vulnerabilidades conhecidas e utiliza diversas formas de propagação. É considerado extremamente perigoso, pois permite acesso remoto ao sistema atacado.

Em relação às vulnerabilidades, até o presente momento, sabe-se que o worm tenta explorar 16 diferentes vulnerabilidades asociadas ao IIS. Uma delas é "MS IIS/PWS Escaped Characters Decoding Command Execution Vulnerability (MS01-020)", a mesma vulnerabilidade que foi utilizada recentemente pelo worm CodeBlue.

O worm Nimda se propaga da seguinte forma:

1. O worm tenta infectar um servidor IIS, usando para tal uma série de vulnerabilidades. Caso obtenha sucesso, o worm irá utilizar o servico tftp para fazer download de um arquivo chamado 'Admin.dll', presente na máquina de onde parte o ataque.
   Segundo informações contidas no site www.incidents.org, o arquivo Admin.dll possui o mesmo conteúdo do arquivo readme.exe. Ambas são réplicas do worm.

2. O worm procura por endereços de email no Addressbook (lista de contatos) e possivelmente no History do navegador. Uma mensagem contendo uma réplica do worm, na forma de um arquivo anexado de nome 'readme.exe' é enviado a todos os endereços contidos no Addressbook e no History.
   Neste ponto, o CAIS lembra de se tomar especial cuidado ao receber mensagens anexadas, mesmo quando o remetente for conhecido.

3. Como parte do processo de infecção, o worm Nimda modifica o conteúdo de todas as páginas web que ele encontrar (.htm, .html, .asp, dentre outros). Desta forma, qualquer usuário que navegar nas páginas do servidor web infectado, via o sistema de arquivos ou via servidor web, estará baixando um arquivo binário, codificado como .wav, que nada mais é do que uma cópia do worm. Este arquivo é gravado localmente com o nome de readme.eml. Algumas versões do navegador Internet Explorer (<= 5.0) irão executar este arquivo, de maneira automática.
   Suspeita-se que o worm Nimda procura infectar máquinas próximas, o que é bastante coerente devido ao grande número de vulnerabilidades que tentam ser exploradas e pelo fato de se ter fácil acesso aos compartilhamentos do Windows.

2. Sistemas Afetados:

Sistemas Microsoft Windows com IIS
Sistemas Microsoft Windows 95, 98, ME, NT e 2000
Microsoft Outlook/ Outlook Express
Internet Explorer 5.5 SP1 ou anterior

3. Aplicação de Correções

Para a vulnerabilidade "Microsoft IE MIME Header Attachment Execution Vulnerability", associada ao Internet Explorer, a Microsoft disponibilizou uma correção:

http://www.microsoft.com/technet/security/bulletin/ms01-020.mspx

Para a vulnerabilidade "MS IIS/PWS Escaped Characters Decoding Command Execution Vulnerability", as correcoes estao disponiveis em:

Microsoft IIS 5.0:
Microsoft patch Q293826_W2K_SP3_x86_en
http://download.microsoft.com/download/win2000platform/Patch/q293826/NT5/EN-US/Q293826_W2K_SP3_x86_en.EXE

Microsoft IIS 4.0:
Microsoft patch Q295534i
http://download.microsoft.com/download/winntsp/Patch/q293826/NT4/EN-US/Q295534i.exe

Um Patch Acumulativo que corrige todas as vulnerabilidades exploradas nos servidores IIS, pode ser encontrado em:
http://www.microsoft.com/technet/security/bulletin/MS01-044.mspx

4. Regras do Snort

Algumas regras do Snort que ajudam a identificar máquinas contaminadas na sua rede, bem como tentativas de ataque externas, já surgiram. Elas deverão ser atualizadas conforme regras mais efetivas forem aparecendo. O CAIS as estará divulgando oportunamente.

Esta primeira regra irá identificar máquinas contaminadas que estão dentro da sua própria rede. Neste caso, trata-se de máquinas internas tentando atacar maquinas externas. Para utilizar esta regra é preciso que seja usado o Snort 1.8.1 e que se tenha em mãos a lista de servidores web da rede ($HTTP_SERVERS). Pode-se alterar a regra para qualquer máquina interna substituindo $HTTP_SERVERS por $INTERNAL_NET.

alert tcp $HTTP_SERVERS any -> $EXTERNAL_NET 80 (msg:"WEB-IIS cmd.exe
Out"; flags: A+; content:"cmd.exe"; nocase; classtype:attempted-user;sid
:1002; rev:1;)

A segunda regra identifica tentativas externas contra sua rede, que visam propagar o worm através de e-mail.

alert tcp $EXTERNAL_NET any -> $HOME_NET 25 (msg:"w32.Nimda worm
incoming"; flags: A+; content:"|6D 65 3D 22 72 65 61 64 6D 65 2E 65 78
65 22|";)

A terceira regra identifica ataques contra os servidores Web.

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"Concept-Nimda";
flags: A+; content:"|48 6F 73 74 3A 20 77 77 77 0D 0A|"; )

Uma vez que o Nimda tenta atacar os servidores web utilizando várias vulnerabilidades, será fácil identificar sua presença, pois múltiplas assinaturas de ataque aparecerão nos logs do IDS.

Outras regras úteis

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"CONCEPT ATTEMPT";
uricontent:"c+dir"; nocase; flags:A+; classtype:attempted-admin;
rev:1;)

alert tcp any any -> $HOME_NET 25 (msg:"Possible CONCEPT Worm Email
Attachment"; content: "readme.exe"; nocase; flags:A+;)

5. Logs do Worm

Seguem abaixo alguns exemplos de logs gerados pela atividade do worm:

a) Logs do servidor web

GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /vtibin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /membin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET
/msadc/..%5c../..%5c../..%5c/..xc1x1c../..xc1x1c../..xc1x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc1x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc0xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc1x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

b) Logs do Snort (IDS)

[**] spphttpdecode: IIS Unicode attack detected [**]
09/19-10:29:47.817594 61.74.162.90:2421 -> 200.144.121.33:80 TCP TTL:106
TOS:0x0 ID:39592 IpLen:20 DgmLen:137 DF ***AP*** Seq: 0x87DB8B55 Ack:
0xFDF3DD74 Win: 0x2238 TcpLen: 20

[**] Concept-Nimda [**] 09/19-10:32:26.659923 200.144.0.29:4627 ->
200.144.121.33:80 TCP TTL:119 TOS:0x0 ID:33399 IpLen:20 DgmLen:112 DF
***AP*** Seq: 0xDCEA18C2 Ack: 0xFF33C168 Win: 0x2238 TcpLen: 20

[**] IDS297 – WEB MISC – http-directory-traversal 1 [**]
09/19-10:29:47.817594 61.74.162.90:2421 -> 200.144.121.33:80 TCP TTL:106
TOS:0x0 ID:39592 IpLen:20 DgmLen:137 DF ***AP*** Seq: 0x87DB8B55 Ack:
0xFDF3DD74 Win: 0x2238 TcpLen: 20

6. Ferramentas

Alguns fabricantes de antivírus estão disponibilizando correções e informações nos seguintes sites:

Sophos
http://www.sophos.com/security/analyses/viruses-and-spyware/w32nimdaa.html

NAI
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209

F-Secure
http://www.f-secure.com/v-descs/nimda.shtml

Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2001-091816-3508-99

7. Recomendações

O CAIS recomenda fortemente que sejam tomadas as seguintes providências:

Havendo um sistema de detecção de intrusão na rede, as regras citadas no item 4 deverão ser incluídas nele, não apenas para prevenir ataques externos, mas para verificar a existência de máquinas internas eventualmente comprometidas.

Que seja vasculhada a rede em busca de máquinas comprometidas.
Para determinar se uma máquina foi comprometida, deve-se procurar os seguintes arquivos: root.exe, admin.dll ou algum outro arquivo com extensão .eml. A presença do primeiro arquivo indica que ela já foi comprometida pelos worms CodeRed ou IIS/Admin, portanto é potencial vítima do worm Nimda; e nos outros casos, indica que ela já foi infectada pelo Nimda.

Se for encontrada uma máquina comprometida, ela deverá ter o sistema re-instalado e nele aplicadas todas as correções de segurança.

Os logs do servidor web deverão ser permanentemente monitorados em busca de atividade suspeita, conforme mostrado no item 5.

Os administradores e usuários deverão instalar ferramentas anti-vírus que coíbam a propagação do worm Nimda. No item 6 são listadas algumas destas ferramentas.

Manter o sistema devidamente atualizado, aplicando os patches/correções de segurança que forem divulgadas por fontes seguras (listas e sites de segurança reconhecidos na comunidade Internet). Maiores informações veja no item 3.

Os usuários devem ser orientados a tomar especial cuidado com os arquivos anexados. NÃO executar qualquer arquivo anexado de nome 'readme.exe', mesmo quando o remetente for conhecido. Assim tambem, devem ser lembrados da importância de examinar, através de um
antivírus, qualquer arquivo em anexo.

Os usuários de alguma versão vulnerável do navegador Internet Explorer (versão 5), devem aplicar a correção MS01-020, citada no item 3. Assim tambem, eles deverão desabilitar a opção de execução automática de JavaScript até que maiores informações sejam disponibilizadas.

8. Considerações Finais

Os worms tem sido responsáveis por uma série de incidentes e tem causado sérios problemas. Um dos últimos worms a atacar massivamente foi o CodeRed e ainda hoje, após dois meses de sua aparição, é possível identificar em grande número, máquinas ainda infectadas com este worm.

O CAIS solicita que estes worms sejam combatidos de forma enérgica, pois somente com a aplicação das correções e com a remoção das máquinas infectadas é que a atividade diminuirá. Sem isso, corremos o risco de ter parte significativa do tráfego sendo causada por worms (tais como o CodeRed, CodeBlue, Nimda, etc).

Não se pode deixar que este tipo de tráfego seja de certa forma "incorporado" pelas redes, de forma definitiva. É o caso do CodeRed, devido à quantidade de trafego gerado por ele, infelizmente, muitos administradores acabaram aceitando-o como "normal".

9. Referências e Leitura Recomendadas

Worm Nimda
CERT Advisory CA-2001-26
Nimda Worm: http://www.cert.org/advisories/CA-2001-26.html

Information on the Nimda Worm
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp

Configuração segura do IIS

checklist do IIS 5.0:
http://www.kbeta.com/SecurityTips/Checklists/IIS5Checklist.htm

checklist do IIS 4.0:
http://www.kbeta.com/SecurityTips/Checklists/NTServerCheckList.htm

Configuração segura de sistemas Windows

NSA's Windows 2000 Security Recommendation Guides
http://nsa2.www.conxion.com/win2k/

NSA's WINDOWS NT SECURITY GUIDELINES
http://www.trustedsystems.com/tss_nsa_guide.htm

O CAIS estará acompanhando o desenvolvimento do worm Nimda e, oportunamente, estará divulgando maiores informações.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais