 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | CAIS-ALR-012001Uma nova onda de Worms [CAIS, 30.04.2001, revisão 01] Motivação Uma série de Worms vem se alastrando pela Internet e atacando máquinas com vulnerabilidades conhecidas. O CAIS divulga o presente documento com o intuito de alertar sobre esta recente onda de ataques e chama a atenção da comunidade de administradores de redes para que seja verificada nas máquinas a existência de tais vulnerabilidades que são alvo dos Worms, e caso elas sejam constatadas, para que providências urgentes sejam tomadas. Impacto O ataque de um Worm ocorre de forma automatizada. O Worm, a partir de uma máquina comprometida, inicia uma série de scans para identificar outras máquinas que possuem serviços vulneráveis. Identificando tais máquinas, o Worm executa um aplicativo que permite shell remoto com acesso de usuário privilegiado ("root"). Possuindo este acesso à máquina, o Worm executa uma série de scripts que transforma a dita máquina em uma nova base para ataques. A máquina que é invadida por um Worm tem invariavelmente seu sistema comprometido com a alteração de arquivos e a remoção de parte do sistema operacional. Detalhes A propagação dos Worms ocorre da seguinte maneira: 1. identificação de máquinas com serviços vulneráveis. 2. invasão da máquina pelo Worm. 3. instalação de root-kits, aplicativos e scripts. 4. notificação por e-mail ao atacante de que a máquina está comprometida. 5. a máquina se torna um ponto de ataque a outras máquinas/redes. Os Worms que vêm atacando máquinas, de forma contínua, são:
A seguir, são especificados, para cada um dos Worms acima, os alvos principais: Ramen O worm Ramen tem como alvo principal máquinas com redhat 6.2 e 7.0 com vulnerabilidades nos servicos wu-ftp, rpc.statd, e LPRng. O Ramem, através de uma versão modificada da ferramenta "synscan", checa o banner FTP das maquinas e, consequentemente, identifica novas vítimas. Máquinas com redhat 6.2 são atacadas via wu-ftp e/ou rpc.statd e mãquinas com redhat 7.0 são atacadas via LPRng. Uma vez que a máquina é infectada, o Worm instala um servidor httpd na porta 27374 que tambem é porta padrão do trojan Sub-Seven. Este servidor serve para que o Worm possa ser copiado para outras máquinas. O Worm aplica correções aos sistema para que a máquina não seja novamente invadida pois neste ataque a página da máquina pode ser trocada. Lion O worm Lion é muito parecido com o Ramen, no entanto, sua capacidade de destruição é muito maior. O alvo de ataque são máquinas Linux rodando versões vulneráveis do servidor de nomes Bind, conhecidamente as versões 8.2, 8.2-P1, 8.2.1 e 8.2.2-Px. As versões 8.2.3-REL e 9 não são vulneráveis a este Worm. O Lion utiliza a ferramente "pscan" para identificar novas máquinas vítimas, fazendo um scan na porta 53/tcp. Os arquivos de senhas são enviados para uma conta de email e nas portas 60008/tcp e 33567/tcp são instalados backdoors com shell root. Uma versão alterada (trojan) do ssh é instalada na porta 33568/tcp. Por fim o Worm instala o rootkit t0rn alterando uma série de binários na máquina. Adore O Adore Worm, inicialmente chamado de RED Worm, ataca máquinas rodando redhat 7.0 utilizando as seguintes vulnerabilidades: LPRng, rpc-statd, wu-ftpd and BIND. Deve-se tomar especial atenção pois o LPRng é instalado no redhat 7.0 automaticamente. O Worm altera o binário do ps. Uma série de informações sobre a máquina são enviadas por email. Uma característica do Worm é a ocorrência de freqüentes reboots na máquina, que são realizados por um cron que é instalado. O Worm utiliza um aplicativo chamado "icmp" que fica monitorando pacotes e quando identifica um caso especifico é aberto um shell root para aceitar conexões. Existem varientes deste Worm que apresentam características diferentes como a criação da contas "h" e "dead". Carko O Carko Worm ataca máquina explorando a vulnerabilidade do snmpXdmid, no caso máquinas com sistema operacional Solaris 2.6, 7, ou 8 onde a instalação do snmpXdmid é realizada automaticamente. Deve-se desabilitar o snmpXdmid nestas máquinas. O Worm instala ferramentas de DDoS, mais precisamente um pacote composto de Stacheldraht v1.666 + antigl + yps DDOS. O worm assim que instalado se comunica com os servidores masters 200.3.128.77, 200.3.116.48, 131.216.135.41 e/ou 152.2.21.117. Este Worm pode ser facilmente alterado e novos servidores serem adicionados. A utilização de um IDS que monitore as ferramentas de DDoS soluciona o problema junto com a recomendação de desabilitar o snmpXdmid. Solução Os serviços explorados por estes Worms devem ser atualizados, principalmente em máquinas recém instaladas. Assim também, pode-se utilizar aplicativos para identificar a presença dos Worms. Uma forma simples de fazer isto é monitorar o envio de email para as seguintes contas: Ramen Não é possivel monitorar o envio dos emails para "chicha" e "libero" pois o arquivo maillog é adulterado. Lion huckit@china.com Adore dvsowned@gmx.net,dvsowned@hotmail.com Pode-se ainda monitorar as portas em que são instalados os backdoors/servidores. No entanto deve-se salientar que tais características dos Worms podem ser alteradas facilmente. Carko Como o Worm instala ferramentas de DDoS pode-se monitorar o tráfego ICMP. Quem utiliza o snort IDS irá identificar a presença do Worm pelas assinaturas das ferramentas Stacheldraht v1.666 + antigl + yps DDOS. O Worm envia dados para os seguintes IPs: 200.3.128.77, 200.3.116.48, Leitura adicional recomendada Ramen Lion Adore http://www.sans.org/y2k/adore.htm Carko http://www.sans.org/y2k/carko.htm |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
