Tratamento de incidentes de segurança gerados pelo malware Conficker

Recentemente o CAIS vêm alertando [2] um aumento do número de incidentes decorrentes da atividade do malware Conficker, também conhecido como Downadup ou Kido, que segundo algumas fontes [1] ja infectou mais de 12 milhões de sistemas ao redor do mundo. Porém em redes de grande porte, onde um grande número de máquinas clientes se conectam à internet por meio de um NAT ou PROXY a partir de um único IP, a tarefa de identificar e dar um tratamento adequado às esses incidentes torna-se uma tarefa árdua.

Esse documento descreve, em linhas gerais, alguns procedimentos que podem ser adotados pelos administradores de rede que se enquadram no cenário acima para dar um tratamento inicial aos incidentes de segurança desse tipo. A construção desse documento foi baseada no alerta divulgado pelo CAIS em 16.02.2009-17:15 [2] sobre o Conficker.

Sobre o conficker

O malware infecta sistemas Windows e se propaga através de três vetores principais:

  • Explorando uma vulnerabilidade no servico "Servidor" do Windows (SVCHOST.EXE - TCP/445), cuja falha ja foi corrigida pelo alerta MS08-067[2] da Microsoft;
  • Executa ataques de força bruta contra redes compartilhadas, tantando adivinhar a senha de acesso do administrador;
  • Infecta dispositivos removiveis normalmente utilizados em diversos computadores(pen drives, cartoes de memoria USB, etc.).

Após infectar a máquina, o conficker acessa diversas URLs na Internet em busca de comandos a serem executados na máquina invadida (por exemplo, roubar informações pessoais, enviar spams, fazer o download de outros arquivos maliciosos, etc).

Tratamento dos incidentes

Em redes com o cenário como descrito acima, identificar e tratar cada máquina cliente infectada com o conficker pode ser uma tarefa árdua para os administradores de rede. Assim uma política válida para dar um tratamento inicial ao incidente é bloquear o acesso à internet para as máquinas infectadas até que a mesma seja desinfectada.

Esse processo envolve duas etapas importantes: identificar qual máquina da rede interna está infectada com o malware e bloqueá-la no equipamento de rede que conecta a instituição à internet. Na identificação das máquinas é possível trabalhar de forma pró-ativa, monitorando a rede para detectar hosts infectados, ou mesmo de forma reativa, utilizando as notificações do CAIS para identificar o host de origem do incidente. Para o bloqueio, geralmente utiliza-se restrições de acesso por MAC address para negar acesso à rede externa em roteadores ou firewalls da rede.

Abaixo discutiremos algumas medidas que podem ser tomadas para identificação pró-ativa e reativa de máquinas infectadas com o conficker. Essas medidas são listadas em linhas gerais para torná-las independentes do sistema utilizado na instituição. Em momentos futuros, poderemos divulgar notas específicas para alguns sistemas que servirão de dicas de implementação dessas medidas.

Como identificar maquinas infectadas por este malware em sua rede

Medidas de gerência proativa

TODO: colocar link para o script em python que monitora a rede a procura de máquinas infectadas.

TODO: colocar o comando do NMAP que permite verificar a máquina infectada.

Medidas de gerência reativa

Para que se possa identificar o host que causou o incidente reportado pelo CAIS é preciso seguir os seguintes passos:

  • Na máquina que é utilizada como NAT ou Proxy de sua rede, é preciso fazer log de todas as requisições que sofreram NAT com informações como: IP de origem original, IP de origem traduzido, porta de origem original, porta origem traduzida, IP de destino, porta de destino, horário do pacote, duração do NAT, dentre outros. Esse log deve preferencialmente ser separado diariamente pois facilita o tratamento das notificações.

  • É preciso ter um controle da tabela ARP para os hosts de sua rede, assim é possível a partir do IP detectado acima descobrir o MAC address do host. Esse controle pode ser feito tanto consultando periodicamente a tabela ARP da máquina utilizada como proxy quanto dos equipamentos de rede (switches, roteadores, bridges) que podem ser gerenciados remotamente.

  • A partir das informações coletas acima mais os dados da notificação enviada pelo CAIS é possível identificar a origem do incidente. Do e-mail de notificação do CAIS extraia as seguintes informações: hora do incidente, endereço IP da origem (IP da sua rede externa), a porta de origem. Agora acesse os logs gerados acima e busque por pacotes que sofreram um NAT e o IP origem traduzido é igual ao IP de origem reportado pelo CAIS, a porta origem traduzida é a mesma da porta de origem, o horário da notificação está dentro do intervalo em que o NAT foi estabelecido no firewall. Nesses pacotes, o IP origem original corresponde ao IP do host de sua rede interna infectado com o conficker.

Agora basta bloquear o acesso à internet dessa máquina e tomar medidas para desinfecção da mesma.

Alternativamente, caso use-se um proxy para acesso HTTP das máquinas clientes de sua rede, é possível buscar nos logs do servidores por padrões de acesso que casem com os seguintes:

GET http://[IP]/search ?q=0 HTTP/1.0"
GET http://[IP]/search ?q=1 HTTP/1.0"
GET http://[IP]/search ?q=n+1 HTTP/1.0"

Medidas de remoção do malware

Consulte o alerta enviado pelo CAIS [2], abaixo, para dicas de como remover o malware da máquina infectada.

Referências externas

  1. Two Weeks of Conficker Data and 12 Million Nodes
  2. Como identificar e remover o malware Conficker (Downadup ou Kido)