iroffer / serv-u virus en la red → Power

iroffer / serv-u virus en la red

dom 02 de abril, 2006 - 16:50 Estado de ánimo: X
Seguridad de esta entrada: PUBLICO

Desde hace unos meses atras se ha propagado la Moda de los bots XDCC los famosos iroffers pero, debido a que muchas personas han hecho muy mal uso de ellos, he decidido postear este articulo, el cual se me hace justo postearlo por seguridad de la red, de los usuarios y del mundo en general, ya que se me hace una vil basura el meter este tipo de programas sin el consentimiento de los usuarios NOVATOS, en sus computadoras.

Cualquier duda se aclara en el canal #Ayuda en el servidor /server irc.red-latina.org
Link de la Noticia: http://www.cert.org.mx/main.dsc?id=nota-UNAMCERT2004-008.html

————————————————————————————-
nota de Seguridad/UNAM-CERT
UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA-UNAM
nota de Seguridad UNAM-CERT 2004-008
Patrones de Compromiso Recientes en Sistemas Windows

—————————————————————————————

En las últimas semanas el UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo UNAM) ha recibido diversos reportes de equipos con sistemas Windows NT, 2000, 2003 y XP comprometidos en red UNAM y redes MX. De acuerdo a análisis preliminares estos ocurren principalmente en sistemas que presentan características de contraseñas débiles o nulas y a la falta de actualizaciones de seguridad.

Fecha de Liberación: 30 de Noviembre de 2004 Ultima Revisión: 10 de Diciembre de 2004 Fuente:

Sistemas Afectados

Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows NT
Microsoft Windows 2003

Descripción

Los sistemas Windows Comprometidos detectados han sido analizados y éstos han presentado patrones similares de comportamiento. En la mayoría de los casos los sistemas fueron comprometidos para instalar un IRC (Internet Relay Chat) y un FTP, este último utilizado para establecer un sitio Warez (un sitio para poder colocar y descargar música, videos y películas).

La forma de explotación de sistemas Windows reportada en las últimas semanas en diversos equipos dentro de red UNAM y redes MX, es a través de la explotación de contraseñas débiles o nulas utilizando mecanismos de fuerza bruta o herramientas que realizan ataques de diccionario.

Utilizando mecanismos automáticos para acceder a través de fuerza bruta, y a su vez teniendo acceso al sistema, éste puede recibir instrucciones para ser controlado de forma remota y de esta forma poder lanzar ataques (por ejemplo ataques DDOS – Negación de Servicio Distribuido) contra otras redes y sistemas mediante una serie de herramientas y gusanos automatizados. También se han tenido reportes de que se están explotando vulnerabilidades en sistemas sin actualizaciones para obtener acceso.

Una vez que el sistema es comprometido, el siguiente paso es utilizar herramientas automatizadas para colocar un IRC o FTP. Una técnica muy común para realizarlo es mediante un archivo compreso mediante la utilería Winrar, a través de la característica de SFX. Un archivo SFX (SelF-eXtracting) es un archivo fusionado con un módulo ejecutable, el cual es utilizado para extraer archivos cuando es ejecutado. De esta forma ningún programa externo es necesario para extraer el contenido de un archivo SFX, y es suficiente para ejecutarlo. Un ejemplo de las instrucciones que tienen este tipo de archivos son las siguientes:

;The comment below contains SFX script commands

Path=c:winnt
SavePath
Setup=c:winntwincache94inst.bat
Silent=1
Overwrite=1

Donde:

Path: Establece la ruta de destino predeterminada donde se descomprimirá el archivo ejecutable.
Setup: Ejecuta el programa especificado tras una extracción correcta.
Silent: Omite el diálogo de inicio. El parámetro 1, inicia la extracción completamente oculta, incluyendo la barra de progreso y los nombres de archivo.
Overwrite: Selecciona el modo de sobrescritura de archivos.

Utilizando esta técnica se ha creado y modificado varios rootkits para Windows. Algunos ejemplos de estos son:

Kit.exe. Se descomprime en la carpeta c:kit y al terminar ejecuta algunos archivos bat, uno de esto mueve el contenido de esta carpeta a c:windowssystem32dap, además de descomprimir otros ejecutables.

sksksk.exe. Se descomprime en el directorio c:winntwincache94, al terminar de descomprimirse ejecuta diversos archivos.

bncundernet.exe. Se descomprime en c:winntweb, al terminar ejecuta un archivo bat el cual tiene las instrucciones necesarias para realizar la instalación.

Es importante señalar que éstos archivos tienen utilerías que son validas y por lo tanto no son detectadas por las firmas antivirus. En el siguiente apartado se mencionarán algunas de las utilerías comúnmente utilizadas.

II. Software Malicioso Instalado
Los archivos comunes para automatizar la instalación de IRCs, FTPS, puertas traseras entre otros son los siguientes.

FireDaemon
Utilería que permite instalar y ejecutar virtualmente cualquier aplicación o script nativo de Win32 (por ejemplo Batch/Cmd, Perl, Java, Python, TCL/TK) como un servicio de Windows NT/2K/XP/2K3. Algunos de los posibles nombres con los que se puede encontrar este archivo son mssvchost.exe y firedaemon.exe. Esta utilería utiliza dos dll’s las cuales son FireDaemonRT.dll y SvcAdmin.dll

Iroffer
Es un servidor de archivos para IRC (comúnmente referenciado como DDC bot). Utiliza la característica de IRC para enviar archivos a otros usuarios. Iroffer se conecta a un servidor IRC y permite a los usuarios requerir archivos del mismo. Requiere del archivo cygwin1.dll para funcionar adecuadamente. Algunos de los posibles nombres con los que se puede encontrar este archivo son smss.exe y iroffer.exe.

Serv-U FTP Server
Es un servidor de FTP con características completas que se ejecuta en sistemas Windows para la compartición de archivos en Internet. Algunos de los posibles nombres con los que se puede encontrar este archivo son: sysmon.exe y svchost.exe.

Psybnc.exe
Programa muy parecido a un VNC. Se ejecuta en otro servidor permitiendo realizar conexiones al mismo como un servidor IRC, y a través de él, conectarte a un verdadero servidor IRC o FTP utilizando la IP del servidor donde se encuentra psybnc. Mediante un archivo de configuración se puede asignar el puerto a utilizar, además psybnc acepta una serie de comandos con los cuales se puede asignar el puerto de ingreso, listar o borrar servidores, entre otras características.

hidden32.exe
Permite iniciar cualquier programa sin que aparezca su ventana principal, permitiendo su ejecución en segundo plano. No es una utilidad maliciosa, por tal motivo las firmas antivirus no la detectan como tal.

DiskInfo.exe
Proporciona información sobre el tamaño de las particiones y del espacio libre de todos los discos duros conectados a la maquina.

Kill.exe
Utilidad que permite terminar procesos proporcionándole un patrón en específico o el PID (Identificador del Proceso) del proceso.

Tar.exe
Utilería similar al tar de los sistemas Unix. Se utiliza normalmente para empaquetar, desempaquetar, comprimir y descomprimir archivos.

UnRAR.exe
Utilería para descomprimir archivos rar.

Delsrv.exe
Permite eliminar un servicio a través del «Administrador de control de servicios» de Windows.

Psinfo.exe
Herramienta de línea de comandos que recolecta información de un equipo local o remoto, incluyendo el tipo de instalación, kernel, memoria física, procesador, versión del software, entre otros datos.

Pulist.exe
Herramienta de línea de comandos que muestra los procesos en ejecución de un equipo local o remoto. Este comando muestra el nombre del proceso y el ID de cada uno de estos, además, intenta obtener el nombre de usuario asociado a cada uno de los procesos.

Servicelist.exe
Herramienta que proporciona los servicios disponibles en el equipo local.

Tlist.exe
Muestra una lista de IDs, nombres y procesos ejecutándose sobre el equipo local.

Uptime.exe
Herramienta de línea de comandos para calcular con facilidad el tiempo de actividad del sistema. Utiliza los sucesos almacenados en el Visor de Sucesos para calcular estas cifras.

Unreal.rar
Archivo empaquetado con un Unreal.exe, el cual es un IRC con diversas características.

Whoami.exe
Herramienta de línea de comandos que muestra el dominio o nombre del equipo y el usuario(s) que actualmente tiene establecida una sesión. Muestra el SID de usuarios y grupos, privilegios y el estado de los mismos.

RebootNT.exe ó reboot.exe
Herramienta utilizada para reiniciar el Sistema Operativo.

Dameware
Aplicación empresarial de administración de sistemas Windows NT/2000/XP, la cual proporciona una colección integrada de utilerías de administración remota.

Archivos .bat
Utilizados para realizar la instalación y la configuración de los programas como iroffer, firedaemon o FTP. En ocasiones, crean y aplican configuraciones de plantillas de Windows.

Archivos .ini
Contienen configuraciones de los programas IRC, FTP u otros.

III. Posibles Síntomas de un Sistema Comprometido
Degradación en los recursos del sistema sin motivo aparente.
Procesos fuera de lo común, sospechosos o con nombres raros.
Discos duros con datos ocupando casi el 100% de su capacidad sin motivo alguno.
Número elevado de puertos abiertos en el sistema.
Generación de tráfico excesivo, ya sea entrante o saliente.
Fallas continúas en conexiones a Internet o a la red.
Eliminación de las bitácoras del equipo.

IV. Principales Razones del Compromiso de los Sistemas
Contraseñas débiles.
Contraseñas en blanco, de longitudes pequeñas o débiles. Es muy común que cuando se realiza una instalación se deje la cuenta de administrador o de un usuario con permisos administrativos en blanco o con contraseñas fáciles de obtener mediante ataques de fuerza bruta o de diccionario. Además, si las contraseñas son menores a 8 caracteres aumenta el grado de probabilidad de que sean descifradas.

Directorios y recursos compartidos de forma predeterminada.
Es muy común que se tengan que compartir recursos dentro de la organización, pero muchas veces, estos recursos pueden ser descubiertos por los intrusos a través de enumeraciones y de esta forma conocer exactamente que recursos explotar. En el caso de la actividad reportada por el UNAM-CERT, la mayoría de las veces, el problema se ocasionó porque los usuarios comparten recursos a todos los usuarios y de esta forma, el intruso utiliza este hecho para introducir sus puertas traseras y rootkits al sistema.

Servicios instalados de forma predeterminada
Principalmente en sistemas Windows NT y 2000, es común que al momento de realizar la instalación, se incluyan de forma predeterminada servicios adicionales a los requerimientos mínimos del sistema; entre los principales se encuentran el servicio Web IIS, Index Service, Telnet, entre otros. Debido a la falta de medidas de seguridad, estos servicios se mantienen ejecutándose sin supervisión alguna, siendo de esta forma una puerta abierta para los intrusos debido a las vulnerabilidades que cada servicio pueda tener.

Falta de actualizaciones de seguridad
Uno de las formas preferidas por los intrusos para ingresar al sistema, es la explotación de vulnerabilidades tanto del propio sistema como de servicios y aplicaciones. A medida que se dejen de actualizar los sistemas, se aumenta la probabilidad de que sea comprometido al explotar estas vulnerabilidades. De igual forma, es necesario el uso de software antivirus que sean capaces de identificar archivos infectados o de los propios rootkits, pero si estos no son actualizados y no se realizan escaneos periódicos, no serán de mucha utilidad.

Uso de aplicaciones no confiables como P2P
El uso de aplicaciones para compartir archivos entre diferentes usuarios (Kazaa, Warez P2P, Morpheus, etc.) ha aumentado las posibilidades de que un equipo sea comprometido, el problema principal radica en que los directorios son compartidos a través de la red y los usuarios caen en el engaño de descargar archivos para su uso pero sin percatarse que son archivos que pueden comprometer al sistema.

Falta de políticas de seguridad adecuadas
Finalmente, dentro de muchas organizaciones el problema radica en que a pesar de contar con medidas de seguridad adecuadas, no existen políticas que rijan el empleo adecuado del equipo de cómputo y por lo mismo se presentan casos como privilegios de administración para todos los usuarios, instalación de aplicaciones y uso de recursos de forma inadecuada o mala organización en las tareas administrativas de los encargados de los equipos.

Recomendaciones
El UNAM-CERT recomienda a todo usuario de cómputo llevar a cabo los siguientes pasos para verificar la seguridad de los sistemas Windows en sus versiones NT, XP, 2000 y 2003.

Monitorear la existencia de puertos abiertos en el sistema y compararlos con los mencionados en este análisis. Algunas de las herramientas que pueden emplearse son las siguientes:
Netstat (incluida en el sistema operativo Windows).
Fport (www.foundstone.com).
Active ports (http://www.protect-me.com/freeware.html).

Verificar puertos sospechosos realizando conexiones mediante telnet para buscar posibles IRCs, FTPs o puertas traseras.

Monitorear y verificar la validez de procesos sospechosos con herramientas como:
Process Explorer (http://www.sysinternals.com).
Process Viewer (http://www.teamcti.com/pview/).
Tlist.exe. Contenida en las Herramientas de Soporte de Windows 2000.

Aplicar políticas de contraseñas complejas, longitud mínima de 8 caracteres y deshabilitar una cuenta de usuario al tener 5 intentos fallidos en la contraseña.

Ejecutar y administrar de forma periódica algún software antivirus.

Deshabilitar todos los servicios que no sean necesarios y en el caso de que alguno sea indispensable, se debería aplicarle algún tipo de monitoreo.

Auditar los intentos fallidos de inicio de sesión.

Aplicar las actualizaciones de seguridad más recientes a los sistemas operativos, así como a todos los servicios adicionales que estén ejecutándo.
Consulte la página de Microsoft en relación al Servicio de Hotfix y Boletines de Seguridad en:
http://www.microsoft.com/technet/security/CurrentDL.aspx.

Algunas de las herramientas utilizadas para la verificación de actualizaciones son:
Microsoft Baseline Security Analyzer v1.2.1
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
HfnetchkLT
http://www.shavlik.com/
Windows Update
http://v4.windowsupdate.microsoft.com/en/default.asp

Implementar un firewall de perímetro de red o un firewall personal.

Cuando encuentre señales de intrusión, examine todos los equipos en la red local. La mayoría de las veces, si un equipo ha sido comprometido, otros en la red también lo están.

Apendices

Apéndice A. Información Adicional
Incremento de Sistemas Windows Comprometidos en Redes MX – .
Virus y Gusanos del UNAM-CERT – .
Servicio de Hotfix y Boletines de Seguridad de Microsoft – .
Lista Segwin, Departamento de Seguridad en Cómputo – .

Apéndice B. Software Antivirus
Symantec Corporation
http://www.symantec.com

Trend Micro – Opción de escaneo en línea
http://www.trendmicro.com

Panda Software – Opción de escaneo en línea
http://www.pandasoftware.com

McAffee
http://www.mcafee.com/mx/

Sophos
http://esp.sophos.com/

F-secure
http://www.f-secure.com/

Computer Associates
http://www.ca.com/offices/mexico/

Bitdefender – Opción de escaneo en línea
http://www.bitdefender-es.com

Rav Antivirus – Opción de escaneo en línea
http://www.ravantivirus.com

Apéndice C. Firewall Personales
Norton Personal Firewall 2005 (Symantec)
http://www.symantec.com/sabu/nis/npf/

ZoneAlarm versión gratuita (ZoneLabs)
http://download.zonelabs.com/bin/free/es/download/znalm.html

Sygate Personal Firewall PRO (Sygate)
http://smb.sygate.com/support/documents/pspf/default.htm

McAffe Personal Firewall (McAffe)
http://www.mcafee.com/myapps/firewall/default.asp

Tiny Personal Firewall (ViruScan Software)
http://www.virus-scan-software.com/index.shtml

Apéndice D. Reportar Información
El UNAM-CERT ha puesto todo el esfuerzo posible para asegurar que la información contenida en este documento sea confiable al momento de su publicación. Sin embargo, la decisión de utilizar la información descrita es responsabilidad de cada usuario u organización. La adecuación de este documento para una organización o sistema individual debería ser considerada antes de su aplicación en conjunto con las políticas y procedimientos locales. La aplicación de las recomendaciones mencionadas en éste documento son responsabilidad absoluta del administrador del sistema.

Si algún administrador o usuario de red detecta que su sistema ha sido comprometido, puede contactar al UNAM-CERT en la siguiente cuenta de correo electrónico:

unam-cert seguridad.unam.mx

————————————————————————————————————————
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración y revisión de éste Nota de Seguridad a:
Juan López Morales (jlopez correo.seguridad.unam.mx)
Omar Sáenz Herrera (osaenz correo.seguridad.unam.mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
E-Mail : seguridad seguridad.unam.mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43

[ Enlace |

5 comentarios ]

del.icio.us Estrella este post

General

Comparte esta entrada (del.icio.us, por correo, etc) o agrega este blog a tu Google Reader.

Entradas relacionadas:

Han escrito 5 comentarios de «iroffer / serv-u virus en la red»

ckonemen Domingo 02 de abril, 2006 17:04.

La verdad me dio una flojera enorme el leerlo.. ya tiene tiempo que no entro al IRC y no estoy tan empapado sobre los iroffer….

power Domingo 02 de abril, 2006 17:10.

IWZ-ALEX-0010 is PMX RL-903A2FF1.prod-empresarial.com.mx * ¤ þm× tËåm ¤
IWZ-ALEX-0010 is using modes +iwx
IWZ-ALEX-0010 is connecting from * dsl-200-67-98-237.prod-empresarial.com.mx 200.67.98.237
IWZ-ALEX-0010 on +#insanewarez
IWZ-ALEX-0010 using Sinaloa.Red-Latina.Org Servidor Para Red-Latina
IWZ-ALEX-0010 End of /WHOIS list.

IWZ-ALEX-36 is PMX EFE9AA2E.D8852A5B.1169B68D.IP * ¤ þm× tËåm ¤
IWZ-ALEX-36 is using modes +iwx
IWZ-ALEX-36 is connecting from * 200.87.27.249 200.87.27.249
IWZ-ALEX-36 on +#insanewarez
IWZ-ALEX-36 using VIP.Red-Latina.Org Very Important Person
IWZ-ALEX-36 End of /WHOIS list.

unos de muchos rooteados, y me imagino que se sienten orgullos de meter esos vichos…

power Domingo 02 de abril, 2006 17:14.

Alexito is Alexito RL-42EA8F33.dgenp.unam.mx * |[ – A l e x i t o – ]|
Alexito is using modes +iwrx
Alexito is connecting from * educacion.dgenp.unam.mx 132.248.251.221
Alexito is a registered nick
Alexito on #Cservice #pmx #insanewarez #Mp3Elite #MP3MEXICO
Alexito using Ruido.Red-Latina.Org http://www.ruido.org.mx/
Alexito End of /WHOIS list.

A poco trabaja en la Unam ?

power Domingo 02 de abril, 2006 17:19.

jajajaja

Bueno otra version de el famoso IROFFER (en ingles avanzado)

http://www.tcs.org/ioport/apr04/iroffer.htm

Y podria seguir pegando post pero tengo trabajo.

Nice work THOM_YORKE_182

crou Martes 04 de abril, 2006 15:02.

y ke?

[2:53pm] Joins: Alexito (Alexito Red-Latina.Org) Clone: PiRaTa [13 users]
[2:53pm] PiRaTa sets mode: +ao Alexito Alexito

En RL no hay un reglamento a doc, es muy viejo y debe de actualizarse asi komo se actualiza kada vez más el interné, piensen en 2.0, no se cierren.