RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

Alerta do CAIS ALR-27062003

Atividade gerada pelo Stumbler (Trojan 55808)

[CAIS, 27.06.2003, revisão 01]


Nas últimas semanas o CAIS tem acompanhado várias discussões relacionadas ao tráfego de pacotes TCP com certa característica marcante: o Window Size de tamanho 55808. Os sistemas de monitoramento do CAIS identificaram tráfego deste gênero, direcionado à porta 21 (FTP).

Até o momento foram capturadas e analisadas duas versões do "malware" (ferramenta hacker) que estaria gerando este tráfego, batizado de Stumbler e também chamado de Trojan 55808. Existem alguns questionamentos se as cópias obtidas são a fonte original dos pacotes ou se foram desenvolvidas para imitar o tráfego que começou a ser detectado durante a segunda semana do mês de Junho.

A análise do Stumbler indica que sua função é realizar atividade de reconhecimento (scanning) de forma distribuida, dificultando a identificação da origem da atividade (stealth scanning), ja' que o endereço IP origem dos pacotes gerados por ele é forjado. O funcionamento é melhor descrito a seguir.

Os pacotes possuem as seguintes características:

Pacotes TCP SYN com Window Size = 55808
IP origem e IP destino aleatorios
Porta Origem e Porta Destino diversas variados

O processo de mapeamento começa com o envio de pacotes TCP SYN com a porta desejada para as máquinas alvo. Como a origem é forjada esses pacotes são capturados em trânsito por máquinas infectadas com o "Stumbler". A máquina onde está instalada o "malware" coloca a placa de rede em modo promÍscuo para poder capturar todos os pacotes e então identificar quais possuem o Window Size específico. Essas informações são coletadas, armazenadas e posteriormente enviadas a um IP específico.

O IP destino dos dados coletados nas versões analisadas é 12.108.65.76. No entanto este IP pode ser alterado remotamente com o envio de um pacote TCP especialmente construído.

As máquinas infectadas com o Stumbler apresentam as seguintes características:

presença do arquivo /tmp/.../a (código executável do "Stumbler")
presença do arquivo /tmp/.../r (dados coletados pelo "Stumbler")

Maiores informações:

"Stumbler" Distributed Stealth Scanning Network
http://xforce.iss.net/xforce/alerts/id/advise146

Intrusec Alert: 55808 Trojan Analysis
http://www.intrusec.com/55808.html

Window Size 55808 packets
http://isc.sans.org/diary.html?date=2003-06-22

O CAIS estara' acompanhando a evolucao deste caso, mantendo-os informados sobre novos desdobramentos do mesmo.



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303