Index A-Z
Nyhetsbrev
RSS
Av
De senaste dagarna har det skapats flera verktyg för att söka av nätverket efter Conficker. Experter har hittat speciella felmeddelanden som returneras om man skickar speciellt utformade rpc-kommandon till infekterade datorer. Detta gör det väldigt lätt för nätverkstekniker att hitta de datorer i nätverket som är infekterade, istället för att testa en maskin åt gången.
Så upptäcker du Conficker
När man skickar en sekvens av \..\ (level up/nivå upp) till värden så förkortas sökvägen och om det är en legitim sökväg så får man tillbaka felkod WERR_OK (0). När Conficker har ändrat i denna funktion, för att hindra spridning av annan malware, så får man istället tillbaka felkod 87 (felaktiga parametrar). Detta är också en legitim felkod, men eftersom vi vet att vi inte bör få tillbaka det felmeddelandet så vet vi att datorn är infekterad.
Conficker tar kontroll över (hookar) denna funktion även om den ursprungliga sårbarheten är åtgärdad, eller om datorn blev infekterad via ett usb-minne eller via en nätverksmapp. Vi kan alltså upptäcka både Conficker A, B och C på distans.
Den senaste betaversionen av den fria nätverkscannern nmap innehåller en funktion för att skicka dessa rpc-meddelanden till datorer på nätverket, och därefter identifiera om de är infekterade. Använd dessa flaggor för en avsökning av nätverk. Betan finns tillgänglig för både windows och *nix.
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [IP]
Ett annat alternativ är Felix Leder och Tillmann Werners pythonscript scs.py (Simple Conficker Scanner) som finns att hämta här.
Användning: ./scs.py [start IP-range] [slut IP-range] | [IP-lista]
./scs.py 127.43.16.76 127.43.16.76
Could not send SMB request to 127.43.16.76:445/tcp.
./scs.py 127.99.100.2 127.99.100.2
127.99.100.2 seems to be infected by Conficker.
./scs.py 127.36.15.80 127.36.15.80
127.36.15.80 seems to be clean.
Minnesdisinfektion
I de senare versionerna av Conficker har det lagts till fler tekniker för att undvika borttagning. Bland annat märker masken när man kör borttagningsverktyg och avslutar dessa. För att kunna ta bort masken helt måste vi avsluta alla trådar som innehåller Conficker i aktiva processer.
Confick_mem_killer.exe söker igenom minnet i alla aktiva processer efter Conficker och avslutar den tråden utan att stoppa orginalprocessen.
Under start så kopieras all kod och data från Conficker in i ett stacksegment i en aktiv process. En ny tråd startas i denna stack och dll:en tas bort.
Om en signatur från Conficker hittas i en aktiv process fylls denna stack med ett stort nummer av NOP-instruktioner (No Operation) och sedan en kort shellkod som exekverar ExitThread().
Detta avslutar tråden och gör en ominfektering omöjlig. Notera att detta endast tar bort masken temporärt. Den laddas om vid nästa omstart om inte ett borttagningsverktyg körs.
Radera Conficker
Det finns flera verktyg för att ta bort Conficker. Här är en lista på de populäraste:
Säkra ditt nätverk mot ytterligare attacker
Nu är det dags att motverka flera attacker av Conficker och liknande maskar för att undvika att bli infekterad igen. Se till att uppdatera Windows med de senaste uppdateringarna, och se till att ditt antivirus har de senaste definitionerna.
För att stärka säkerheten kan vi också stänga av SMB och autorun.
Detta kan exploateras till vår fördel för att motverka infektioner.
Nonficker är en uppsättning tjänster som uppger sig vara Conficker A, B och C. Detta innebär att när en potentiell äkta Conficker försöker installera sig på systemet, så finns redan en version tillgänglig, vilket resulterar i att masken inte installeras alls.
För att senare ta bort ”fejkmasken” utför du dessa steg:
Du kan läsa mer om teknikerna och en utmärkt teknisk analys av masken här (PDF 700kb).
Så upptäcker du Conficker
När man skickar en sekvens av \..\ (level up/nivå upp) till värden så förkortas sökvägen och om det är en legitim sökväg så får man tillbaka felkod WERR_OK (0). När Conficker har ändrat i denna funktion, för att hindra spridning av annan malware, så får man istället tillbaka felkod 87 (felaktiga parametrar). Detta är också en legitim felkod, men eftersom vi vet att vi inte bör få tillbaka det felmeddelandet så vet vi att datorn är infekterad.
Conficker tar kontroll över (hookar) denna funktion även om den ursprungliga sårbarheten är åtgärdad, eller om datorn blev infekterad via ett usb-minne eller via en nätverksmapp. Vi kan alltså upptäcka både Conficker A, B och C på distans.
Den senaste betaversionen av den fria nätverkscannern nmap innehåller en funktion för att skicka dessa rpc-meddelanden till datorer på nätverket, och därefter identifiera om de är infekterade. Använd dessa flaggor för en avsökning av nätverk. Betan finns tillgänglig för både windows och *nix.
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [IP]
Ett annat alternativ är Felix Leder och Tillmann Werners pythonscript scs.py (Simple Conficker Scanner) som finns att hämta här.
Användning: ./scs.py [start IP-range] [slut IP-range] | [IP-lista]
./scs.py 127.43.16.76 127.43.16.76
Could not send SMB request to 127.43.16.76:445/tcp.
./scs.py 127.99.100.2 127.99.100.2
127.99.100.2 seems to be infected by Conficker.
./scs.py 127.36.15.80 127.36.15.80
127.36.15.80 seems to be clean.
Minnesdisinfektion
I de senare versionerna av Conficker har det lagts till fler tekniker för att undvika borttagning. Bland annat märker masken när man kör borttagningsverktyg och avslutar dessa. För att kunna ta bort masken helt måste vi avsluta alla trådar som innehåller Conficker i aktiva processer.
Confick_mem_killer.exe söker igenom minnet i alla aktiva processer efter Conficker och avslutar den tråden utan att stoppa orginalprocessen.
Under start så kopieras all kod och data från Conficker in i ett stacksegment i en aktiv process. En ny tråd startas i denna stack och dll:en tas bort.
Om en signatur från Conficker hittas i en aktiv process fylls denna stack med ett stort nummer av NOP-instruktioner (No Operation) och sedan en kort shellkod som exekverar ExitThread().
Detta avslutar tråden och gör en ominfektering omöjlig. Notera att detta endast tar bort masken temporärt. Den laddas om vid nästa omstart om inte ett borttagningsverktyg körs.
Radera Conficker
Det finns flera verktyg för att ta bort Conficker. Här är en lista på de populäraste:
- FixDownadup.exe (Symantec)
- F-downadup.zip (F-Secure)
- Stinger (McAfee)
- Windows® Malicious Software Removal Tool (KB890830) (Microsoft)
Säkra ditt nätverk mot ytterligare attacker
Nu är det dags att motverka flera attacker av Conficker och liknande maskar för att undvika att bli infekterad igen. Se till att uppdatera Windows med de senaste uppdateringarna, och se till att ditt antivirus har de senaste definitionerna.
För att stärka säkerheten kan vi också stänga av SMB och autorun.
- Start > Settings > Network and Dial-up connections
- Högerklicka på Internet facing connection och välj Properties.
- Välj Client for Microsoft Networks och tryck sedan på Uninstall.
- Följ stegen för avinstallation
- Välj File and Printer Sharing for Microsoft Networks, och tryck sedan på Uninstall
- Start > Run > regedit
- Öppna HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\
- Dubbelklicka på AutoRun och ändra värdet till 0.
- Starta om datorn
Detta kan exploateras till vår fördel för att motverka infektioner.
Nonficker är en uppsättning tjänster som uppger sig vara Conficker A, B och C. Detta innebär att när en potentiell äkta Conficker försöker installera sig på systemet, så finns redan en version tillgänglig, vilket resulterar i att masken inte installeras alls.
För att senare ta bort ”fejkmasken” utför du dessa steg:
- Start > Run > Regedit
- Gå till HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
- Radera aaaaanonficker från “netsvcs”
- Ta bort registernyckeln och alla undernycklar från HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aaaaanonficker
Du kan läsa mer om teknikerna och en utmärkt teknisk analys av masken här (PDF 700kb).
Den här artikeln har 0 kommentarer:
