Jaki jest najlepszy sposób na zdalne wykrycie zainfekowanych komputerów Conficker w sieci firmowej?

10

Jaki jest najlepszy sposób na zdalne wykrycie zainfekowanych komputerów Conficker w sieci firmowej / ISP?

Kazimieras Aliulis
źródło

Odpowiedzi:

5

Najnowsza wersja nmapma możliwość wykrycia wszystkich (bieżących) wariantów Confickera poprzez wykrycie prawie niewidocznych zmian, które robak wprowadza do usług portu 139 i portu 445 na zainfekowanych komputerach.

Jest to (AFAIK) najprostszy sposób na skanowanie całej sieci w oparciu o sieć bez konieczności odwiedzania każdego komputera.

Alnitak
źródło
Jeśli komputer ma dobrze skonfigurowaną zaporę, będzie blokować porty 139 i 445, więc nie jest w 100% skuteczny, ale można wykryć większość maszyn.
Kazimieras Aliulis
Gdyby komputer miał dobrze skonfigurowaną zaporę, prawdopodobnie nie zostałby zainfekowany ...
Alnitak
Należy pamiętać, że niektóre części testów smb-check-vulns zawartych w nmap mogą spowodować awarię zainfekowanych maszyn. Tego najlepiej uniknąć w środowisku produkcyjnym.
Dan Carley
zawieszanie zainfekowanych maszyn brzmi dla mnie jak wygrana :) Awarie niezainfekowanych maszyn byłyby jednak naprawdę złe ...
Alnitak
11

Uruchom narzędzie Microsoft do usuwania złośliwego oprogramowania . Jest to samodzielny plik binarny, który jest przydatny w usuwaniu rozpowszechnionego złośliwego oprogramowania i może pomóc usunąć rodzinę złośliwego oprogramowania Win32 / Conficker.

Możesz pobrać MSRT z jednej z następujących witryn internetowych Microsoft:

Przeczytaj ten artykuł pomocy technicznej Micosoft: Ostrzeżenie o wirusach dotyczące robaka Win32 / Conficker.B

AKTUALIZACJA:

Jest ta strona internetowa, którą możesz otworzyć. Powinien dawać ostrzeżenie, jeśli na urządzeniu pojawi się znak konficker: http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Prawie zapomniałem wspomnieć o tym bardzo przyjemnym „wizualnym” podejściu: Conficker Eye Chart (nie jestem pewien, czy będzie działać w przyszłości ze zmodyfikowaną wersją wirusa) - nie jestem pewien, czy nadal działa poprawnie (aktualizacja 06 / 2009):

Jeśli widzisz wszystkie sześć obrazów w obu rzędach górnego stołu, oznacza to, że nie jesteś zarażony przez Confickera lub korzystasz z serwera proxy, w którym to przypadku nie będziesz mógł użyć tego testu do dokładnego ustalenia, ponieważ Conficker nie będzie mógł zablokować ci dostępu do stron AV / bezpieczeństwa.

Skaner sieciowy

Darmowy skaner roboczy Conficker Worm firmy eEye:

Robak Conficker wykorzystuje różne wektory ataku do przesyłania i odbierania ładunków, w tym: luki w oprogramowaniu (np. MS08-067), przenośne urządzenia multimedialne (np. Dyski USB i dyski twarde), a także wykorzystując słabości punktów końcowych (np. Słabe hasła na systemy sieciowe). Robak Conficker odrodzi również zdalne dostęp do backdoora w systemie i spróbuje pobrać dodatkowe złośliwe oprogramowanie w celu dalszego zainfekowania hosta.

Pobierz tutaj: http://www.eeye.com/html/downloads/other/ConfickerScanner.html

Spójrz także na ten zasób („skaner sieciowy”): http: //iv.cs.uni-bonn. de / wg / cs / applications / zawierający-konficker / . Wyszukaj „Skaner sieciowy”, a jeśli używasz systemu Windows:

Florian Roth skompilował wersję Windows, którą można pobrać z jego strony internetowej [bezpośredni link do pliku zip] .

splattne
źródło
Zapytałem, jak wykryć komputery w sieci, a nie jak je wyczyścić.
Kazimieras Aliulis
Narzędzie do usuwania WYKRYWA je. Jako miły efekt uboczny usuwa je ... ;-)
splattne
Ach, masz na myśli ZDALNIE? Przepraszam. Teraz rozumiem.
splattne
Jeśli komputer ma dobrze skonfigurowaną zaporę, zablokuje porty 139 i 445, więc nie jest w 100% skuteczny, ale można wykryć większość maszyn. Niestety, sygnatury wykrywania wtargnięcia dotyczą tylko wersji A i B. Sprawdzanie domen jest również częściowo realnym rozwiązaniem.
Kazimieras Aliulis
4

Istnieje narzędzie Python o nazwie SCS, które można uruchomić ze stacji roboczej, i można je znaleźć tutaj: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Tak dzieje się na mojej stacji roboczej:

Usage:
scs.py <start-ip> <end-ip> | <ip-list-file>

andor@alvaroportatil:~/Escritorio/scs$ python scs.py 10.180.124.50 10.180.124.80

----------------------------------
   Simple Conficker Scanner
----------------------------------
scans selected network ranges for
conficker infections
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------

No resp.: 10.180.124.68:445/tcp.
10.180.124.72 seems to be clean.
10.180.124.51 seems to be clean.
10.180.124.70 seems to be clean.
 10.180.124.53 seems to be clean.
10.180.124.71 seems to be clean.
 10.180.124.69 seems to be clean.
10.180.124.52 seems to be clean.
No resp.: 10.180.124.54:445/tcp.
No resp.: 10.180.124.55:445/tcp.
No resp.: 10.180.124.61:445/tcp.
No resp.: 10.180.124.56:445/tcp.
No resp.: 10.180.124.57:445/tcp.
No resp.: 10.180.124.58:445/tcp.
No resp.: 10.180.124.60:445/tcp.
No resp.: 10.180.124.67:445/tcp.
No resp.: 10.180.124.62:445/tcp.
No resp.: 10.180.124.63:445/tcp.
No resp.: 10.180.124.64:445/tcp.
No resp.: 10.180.124.65:445/tcp.
No resp.: 10.180.124.66:445/tcp.
No resp.: 10.180.124.76:445/tcp.
No resp.: 10.180.124.74:445/tcp.
No resp.: 10.180.124.75:445/tcp.
No resp.: 10.180.124.79:445/tcp.
No resp.: 10.180.124.77:445/tcp.
No resp.: 10.180.124.78:445/tcp.
No resp.: 10.180.124.80:445/tcp.
Andor
źródło
To fajny scenariusz!
Kazimieras Aliulis
1

OpenDNS ostrzega przed komputerami, które mogą być zainfekowane. Chociaż, jak powiedział splattne, MSRT jest najprawdopodobniej najlepszą opcją.

Adam Gibbins
źródło
Polityka firmy nie zezwala na korzystanie z OpenDNS, musi to być rozwiązanie domowe.
Kazimieras Aliulis
0

Obecnie znajdujemy je, zauważając, które maszyny są wymienione w dziennikach zdarzeń innych komputerów z powodu naruszenia zasad LSA. W szczególności w dzienniku zdarzeń Źródło LsaSrv błąd 6033. Komputer nawiązujący anonimowe połączenia sesji, które są odrzucane, jest zainfekowany przez conficker.

Laura Thomas
źródło