Qual è il modo migliore per trovare i PC infetti da Conficker nelle reti aziendali da remoto?


Risposte:


5

L'ultima versione di nmapha la capacità di rilevare tutte le (attuali) varianti di Conficker rilevando le modifiche altrimenti quasi invisibili che il worm apporta ai servizi porta 139 e porta 445 su macchine infette.

Questo è (AFAIK) il modo più semplice per eseguire una scansione basata su rete dell'intera rete senza visitare ogni macchina.


Se il PC ha un firewall ben configurato, bloccherà dalle porte 139 e 445, quindi non è efficace al 100%, ma è possibile rilevare la maggior parte delle macchine.
Kazimieras Aliulis,

Se il PC avesse un firewall ben configurato, probabilmente non sarebbe stato infettato in primo luogo ...
Alnitak,

È necessario essere consapevoli del fatto che alcune parti dei test smb-check-vulns inclusi in nmap sono soggette a crash di macchine infette. Quale può essere evitato meglio in un ambiente di produzione.
Dan Carley,

il crash di macchine infette suona come una vittoria, per me :) Il crash di macchine non infette sarebbe davvero brutto, però ...
Alnitak,

11

Esegui lo strumento di rimozione malware per Microsoft . È un file binario autonomo utile nella rimozione di software dannoso prevalente e può aiutare a rimuovere la famiglia di malware Win32 / Conficker.

È possibile scaricare MSRT da uno dei seguenti siti Web Microsoft:

Leggi questo articolo di supporto di Micosoft: avviso di virus sul worm Win32 / Conficker.B

AGGIORNARE:

C'è questa pagina web che potresti aprire. Dovrebbe dare un avviso se c'è un segno di conficker sulla macchina: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Ho quasi dimenticato di menzionare questo approccio "visivo" molto carino: Conficker Eye Chart (non sono sicuro che funzionerà in futuro con la versione modificata del virus) - Non sono sicuro che funzioni ancora correttamente (aggiornamento 06 / 2009):

Se riesci a vedere tutte e sei le immagini in entrambe le righe della tabella superiore, non sei infetto da Conficker o potresti utilizzare un server proxy, nel qual caso non sarai in grado di utilizzare questo test per effettuare una determinazione accurata, poiché Conficker non sarà in grado di impedirti di visualizzare i siti AV / di sicurezza.

Network Scanner

Scanner di rete Worm Conficker gratuito di eEye:

Il worm Conficker utilizza una varietà di vettori di attacco per trasmettere e ricevere payload, tra cui: vulnerabilità del software (ad esempio MS08-067), dispositivi multimediali portatili (ad esempio chiavette USB e dischi rigidi), nonché sfruttando le debolezze degli endpoint (ad esempio password deboli su sistemi abilitati alla rete). Il worm Conficker genererà anche backdoor di accesso remoto sul sistema e tenterà di scaricare malware aggiuntivo per infettare ulteriormente l'host.

Scarica qui: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Guarda anche questa risorsa ("scanner di rete"): http: //iv.cs.uni-bonn. de / wg / cs / applicazioni / contenente-conficker / . Cerca "Network Scanner" e, se usi Windows:

Florian Roth ha compilato una versione di Windows che è disponibile per il download dal suo sito Web [collegamento diretto al download zip] .


Ho chiesto come rilevare i PC in rete, non come cancellarli.
Kazimieras Aliulis,

Lo strumento di rimozione li RILEVA. Come un piacevole effetto collaterale, li cancella ... ;-)
splattne

Ah, intendi REMOTELY? scusate. Ora capisco.
splattne

Se il PC ha un firewall ben configurato, bloccherà le porte 139 e 445, quindi non è efficace al 100%, ma è possibile rilevare la maggior parte delle macchine. Purtroppo, le firme per il rilevamento delle intrusioni sono solo per le versioni A e B. Anche il controllo del dominio è in parte una soluzione praticabile.
Kazimieras Aliulis,

4

Esiste uno strumento Python chiamato SCS che puoi avviare dalla tua workstation e puoi trovarlo qui: http://iv.cs.uni-bonn.de/wg/cs/applications/contain-conficker/

Va così sulla mia workstation:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.

È una bella sceneggiatura!
Kazimieras Aliulis,


1

OpenDNS avviserà dei PC che ritiene siano infetti. Anche se come ha detto splattne, MSRT è probabilmente l'opzione migliore.


La politica aziendale non consente di utilizzare OpenDNS ma deve essere una soluzione casalinga.
Kazimieras Aliulis,

0

Attualmente li stiamo rilevando notando quali macchine sono elencate nei registri eventi di altre macchine per violazioni delle norme LSA. In particolare nel registro eventi Errore LsaSrv di origine 6033. La macchina che effettua le connessioni di sessione anonime che vengono negate sono infette da conficker.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.