Come posso individuare sistemi infetti dal virus Conficker situati dietro server NAT, senza avere informazioni complete circa le connessioni sospette?

Rilevare il virus Conficker.

:: Descrizione

I log che Vi inoltriamo ci vengono inviati da enti esterni al GARR. Purtroppo le connessioni registrate in questi log non sempre sono complete di IP e porta destinazione.

Questi log vengono prodotti con una tecnica di tipo sinkhole routing attraverso la quale non vengono intercettati solo gli attacchi verso i servizi Microsoft Windows (security alert MS08-067), ma anche particolari richieste http che il virus stesso esegue per scaricare propri aggiornamenti.

Alla richiesta di maggiori dettagli ci e' stato comunicato quanto segue:
"The destination IP protocol will always be TCP (6) and the destination TCP port will always be HTTP (80) for these Conficker reports unless otherwise specified."

Non possiamo garantire che tutti i nodi segnalati siano realmente infetti, anzi siamo interessati ad avere riscontro di eventuali falsi positivi.

:: Interventi possibili

E' possibile tentare di individuare sistemi infetti nella propria rete locale tramite strumenti come nmap o tool specifici (vedi "Informazioni dalla rete") sul cui funzionamento pero' non abbiamo condotto alcun test.

esempio:

nmap -PN -T4 -p139,445 -vv --script=p2p-conficker,smb-os-discovery,smb-check-vulns 
--script-args=checkconficker=1,safe=1 [target_networks]

E' anche possibile installare ngrep, un IDS come snort o un vulnerability scanner come Nessus:

• http://www.linux-tip.net/cms/content/view/372/26/
• http://doc.emergingthreats.net/bin/view/Main/2009205
• http://www.nessus.org/plugins/index.php?view=single&id=36036
• http://blog.tenablesecurity.com/2009/04/updated-conficker-detection-plugin-released.html
• http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/NetworkDetection
• http://www.honeynet.org/node/388

La seguente pagina puo' aiutare l'utente a rilevare la presenza del virus sul suo sistema:

• http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

:: Informazioni dalla rete

• (2009-03-30) SkullSecurity - Scanning for Conficker with Nmap
• (2009-03-30) Insecure.org - How to use Nmap to scan very large networks for Conficker

Bonn University - Containing Conficker - Network Scanner in Phyton

• (2009-03-31) eEye Offers Free Utility to Detect Conficker Worm and MS08-067 Patch
  • http://www.eeye.com:80/html/conficker/index.html
  • http://www.eeye.com:80/html/company/press/PR20090331.html
  • http://www.eeye.com:80/html/downloads/other/ConfickerScanner.html
• (2009-03-30) ISC Diary - Locate Conficker infected hosts with a network scan
• (2009-04-05) ISC Diary - Open Source Conficker-C Scanner/Detector Released
• (2009-09-26) ISC Diary - SANS Conficker detection hints