Win32/Conficker.B e varianti
ATTENZIONE: Questo post e' stato scritto piu' di 3 mesi fa. Potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a scrivere un commento per chiedere delucidazioni! :)Ultima modifica: 18/01/2009 ore 2.29
Non sono ancora sparito dalla circolazione, ci sto andando particolarmente vicino durante questi giorni. Perché? Tutto sotto lo stesso nome con qualche piccola variazione di lettere: W32/Conficker.A o W32/Conficker.B o ancora W32/Downadup e W32/Downadup.B.
Rogna nata a Dicembre 2008, nettamente peggiorata a gennaio 2009, tutto basato sulla enorme vulnerabilità Microsoft descritta dal bollettino di sicurezza MS08-67. Qualcosa come 3000 e più PC di clienti aziendali (seguiti direttamente o indirettamente) sono finiti nella trappola dell’ormai superato “Conficker.A” che sta evolvendosi ora nella variante .B sempre più complessa e difficile da sconfiggere.
Costantemente in contatto con i laboratori Sophos ed un dipendente TrendMicro si affronta, ora dopo ora, un codice poliformico scritto davvero bene, in grado di inginocchiare le difese di una rete LAN sicura o insicura indistintamente, sfruttando quel punto remoto dimenticato da Dio. Entrato grazie alla falla del bollettino sopra descritto è in grado di diffondersi effettuando un brute-force sulle cartelle condivise in rete, provando password già dichiarate da Sophos fino a scoprirle, per poi replicarsi attraverso file *.ini di autorun e processi schedulati nelle Operazioni Pianificate di Windows, chiaramente spegnendo il servizio Server e inibendo l’ingresso a siti web che potrebbero “metterlo in pericolo“.
Chi è Conficker?
Se quello che vi ho sommariamente descritto sopra non basta, vi propongo il testo redatto da Feliciano Intini, CSA di Microsoft Italia, che seguo costantemente attraverso il suo blog (e grazie al quale riesco a tenermi costantemente informato sull’evoluzione di quest’infezione):
Il problema è che questa nuova variante del worm non solo tenta la propagazione sfruttando i sistemi non ancora aggiornati con la patch MS08-067, ma tenta di replicarsi utilizzando password deboli delle utenze amministrative. Questo tipo di dinamica sta provocando due effetti collaterali significativi: il tentativo massiccio (migliaia di tentativi) di indovinare la password con questo dictionary attack può causare delle serie congestioni di rete (e quindi a catena un collasso della connettività di rete) e un vero e proprio DoS verso i sistemi di autenticazione che utilizzano l’account lockout (ossia il blocco dell’utenza dopo un certo numero di password errate). In seguito a queste considerazioni, invito gli amministratori di sicurezza (gli utenti finali non sono interessati, se aggiornati con la patch, come dovrebbero, e se al riparo dietro un firewall di rete non aperto alle share) a rivedere il livello di aggiornamento dei loro sistemi rispetto alla patch MS08-067 e il livello di robustezza delle password amministrative di rete come indicato dal link che vi ho proposto. A partire da ieri, dopo la scoperta da parte del nostro MMPC, tutti i maggiori vendor antivirus stanno aggiornando le loro firme per permettere il rilevamento di questa nuova variante.
Si tratta di un lavoro assolutamente fantastico, lasciatemelo dire. Chi ha progettato e realizzato il codice di cotanto caos è preparato ed estremamente sadico nel ricercare la perfezione di un codice in grado di sopravvivere ed essere difficilmente abbattuto in via definitiva. In ufficio non si fa altro che lavorare da giorni per cercare di arginare i danni e chiudere qualsiasi “porta di servizio” possa essere sfruttata per continuare a danneggiare i PC in lan. Non basta avere un team di sistemisti Microsoft che cura l’Active Directory di un importante cliente e marchio italiano molto conosciuto (non posso fare nomi ovviamente), sono stati colti di sorpresa anche loro.
L’infezione nello specifico
Pubblico parte delle informazioni disponibili a tutti gli utenti nella scheda di analisi Mal/Conficker-A su Sophos.com:
Mal/Conficker-A is a worm for the Windows platform.
Mal/Conficker-A may spreads through Windows file shares protected with weak passwords, by copying itself to removable storage devices and by exploiting the MS08-067 Windows Server service vulnerability.
Mal/Conficker-A will attempt to copy itself to the following location:
<System>\<random filename>
(e.g. C:\windows\system32\zdtnx.g)This file is set up to run as a service, also using a random name, when Windows starts. Mal/Conficker-A modifies permissions on the service registry entries so that they are not visible to the user.
The registry entries added by Mal/Confiker-A are under:
HKLM\SYSTEM\CurrentControlSet\Services\<random service name>The random service name will also be added to the list of services referenced by:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcsWhen spreading to removable media Mal/Conficker-A attempts to create the following hidden files:
<Removable Drive Root>\autorun.inf
<Removable Drive Root>\RECYCLER\S-x-x-x-xxx-xxx-xxx-x\<Random Letters>.dll (where x represents a random digit)
L’analisi continua per pagine, potete dare anche voi una occhiata.
Risoluzione & Materiale da scaricare
Giusto quattro giorni fa, in collaborazione con Sophos, abbiamo applicato una procedura di protezione davvero invasiva che basa il suo funzionamento sull’antivirus “di casa“, EndPoint. Ho caricato su GxWare.org il documento PDF mandato dai laboratori a tutti i collaboratori e partner Sophos in giro per il mondo (in lingua inglese, comunque facilmente comprensibile):
downloads.gxware.org/index.php?dir=pdf/&file=w32.conficker.emergency-cleanup.pdf
Lanciando la sera di giovedì 15/01 una scansione “extensive” su tutti i client rimasti accesi ed una seconda la mattina di venerdì 16/01, siamo riusciti a tenere a bada l’infezione, rallentando di parecchio il lavoro degli utenti ovviamente scocciati ma ignari del fastidio provocato dal codice virale, rogna per noi e disagio per loro. Durante il pomeriggio (sempre di venerdì, ndr) un codice batch, sviluppato velocissimamente da un mio collega, riusciva già a cancellare ogni rimasuglio del worm. Basa il suo funzionamento sui Removal Tool rilasciati da BitDefender (bitdefender.com/VIRUS-1000462-en–Win32.Worm.Downadup.Gen.html) e F-Secure (f-secure.com/v-descs/worm_w32_downadup_gen.shtml).
Il batch a fine processo lascia un file .lj all’interno della cartella System32 di Windows. Terzultima e penultima riga prevedono quindi la cancellazione di quel file perfettamente inutile rilevato talvolta come malevolo ma molto probabilmente falso positivo facilmente disinfettabile (o eliminabile):
net share admin$ /delete \\serverXX.XX.XX\confickera\bitdefender\antidownadup\Anti-Downadup.exe \\serverXX.XX.XX\confickera\fsecure\fdownadup\f-downadup.exe --disinfect del c:\windows\system32\*.lj del c:\winnt\system32\*.lj del %windir%\tasks\at*.*
Serve (è meglio fare) un reboot a fine processo.
Procedure aggiornate Microsoft
Il 5 gennaio scorso è stata rilasciata una procedura aggiornata quotidianamente (fino a venerdì compreso, ndr) e molto discussa da professionisti del settore sul blog di “ITASUPPORT“, il blog dedicato al supporto Enterprise, sempre su Technet:
Cita:
Il modo migliore per rimuovere il virus è utilizzare l’Antivirus installato nel sistema in quanto riduce i tempi di scansione e permette di limitare le reinfezioni.
In caso non sia rilevabile, si può utilizzare la versione Online di Windows Live OneCare Safety scanner oppure il tool standalone Microsoft Malicious Software Removal Tool disponibile gratuitamente ed entrambi in grado di rilevare e rimuovere il virus e le sue varianti.
e suggerisce in seguito una rimozione manuale nel caso in cui l’antivirus incluso nel sistema non riesca a fare piazza pulita, senza lesinare sui consigli per il presente tanto quanto il futuro della rete aziendale:
- NON loggarsi nei server con utenza di dominio se possibile, specialmente NON come Domain Admin. Utilizzare un utente locale. Il malware impersona l’utente loggato interattivamente e accede alle risorse di rete usando queste credenziali.
- Arrestare il servizio “Server” e “Task Scheduler” = questo rimuove la share Admin$ dal sistema in modo tale che il malware non possa diffondersi tramite questo metodo. Da notare che è fatto solo temporaneamente, specialmente nei server di produzione nei quali sarà impattata la disponibilità dei servizi di rete.
Insieme a tanti altri citati nell’elenco numerico delle operazioni da seguire passo passo. Ho generato un documento PDF della documentazione, anch’esso caricato su GxWare.org e disponibile per il download:
downloads.gxware.org/index.php?dir=pdf/&file=w32.conficker.microsoft-cleanup.pdf
Bloccare i siti web di riferimento
Conficker riesce a rilevare l’IP della macchina attaccata grazie a siti web di pubblico dominio e conosciuti da molti. Così cita la scheda tecnica di Sophos:
Once active the worm will attempt to determine the public IP address of the infected computer by visiting one or more of the following websites:
www.whatsmyipaddress.com
www.getmyip.org
www.whatismyip.org
checkip.dyndns.org
Ai quali si sono aggiunti poco dopo ebay.com, cnn.com, msn.com e aol.com. Volendogli mettere “i bastoni tra le ruote” si può fare riferimento al proxy aziendale andando a modificare le regole riguardanti i siti web da bloccare a qualsiasi utenza. Nel caso del cliente da me controllato, la piattaforma scelta (qualche tempo fa ormai) è il Web Appliace di Sophos. Il lavoro è semplice e veloce, basta aggiungere nella lista ad “Alto rischio” i siti web interessati:
Chiaramente così facendo il worm, che si connette alle risorse della rete con l’utente “interattivo” connesso in quel momento alla macchina, non potrà in alcun modo richiedere “il GETIP” ai siti web sopra citati. Si può adottare lo stesso procedimento con Squid (magari facendo puntare le richieste a 127.0.0.1) o con altri software / hardware preposti alla funzione di filtraggio della navigazione.
L’attuale blocco via Sophos AV
La procedura che attualmente blocca l’infezione chiudendola “all’angolo” è nata da un ragionamento malato del sottoscritto, pensato insieme ai colleghi e discusso con Milano (sede Sophos Italia) giusto per avere delle conferme di funzionamento prima dell’attivazione.
E’ semplice:
- Creazione di una scansione pianificata “a vuoto” su tutte le macchine aziendali. Si piazza la sorgente di scansione su floppy e supporti USB rimovibili affinché duri molto poco (con la speranza che pochi in azienda a quell’ora abbiano connesso penne e hard disk esterni USB alle proprie macchine) senza spuntare alcuna opzione aggiuntiva come la ricerca di ADware o HIPS. Così facendo la scansione “girerà a vuoto” ma riuscirà a bloccare immediatamente processi infetti in RAM (ancora prima che tenti di accedere a Floppy e dispositivi di memoria USB).
- L’agente Sophos sempre attivo sulla macchina (nella Tray di sistema) rileverà, durante una successiva scansione pianificata ed extensive, eventuali file malevoli bloccandone e precludendone l’attivazione, proprio come suggerito da documentazione dei laboratori.
- Al successivo riavvio il processo creato automaticamente dal Conficker verrà rilevato e bloccato, sarà quindi impossibile per lui rigenerare il codice malevolo sulla macchina (quindi la DLL) così da continuare la propagazione.
- Il virus non viene ancora cancellato (in attesa di suggerimenti dall’azienda) ma rimane bloccato nel PC. Gli utenti potranno nuovamente lavorare senza problema alcuno e senza avere il servizio Server disattivato sulle macchine di produzione.
In conclusione
Allo stato attuale la situazione è “stabile e finalmente sotto controllo“, nell’attesa che da Milano o dai laboratori Sophos salti fuori un nuovo documento di intervento e nuove definizioni in grado di eliminare completamente i file infetti riportando lo stato della macchina a quello che era prima dell’infezione. Quando possibile aggiornerò il post segnalando nuovi sviluppi.
In bocca al lupo a tutti coloro che si trovano nella stessa situazione. Il mio parere su chi ha realizzato tutto questo l’ho già espresso qualche giorno fa.
To Punish And Enslave - © 2007-2012 
Non me ne parlare, va… sono giorni che dico cose irripetibili… http://tinyurl.com/7cu9lp
Si Teo avevo notato in Twitter :P
Io sto dicendo gentilezze sparse tra blog e Twitter giusto per confermare quanto debba morire chi ha progettato e realizzato un codice così stronzo :P
E' per questo che adoro server e client con GNU/Linux sopra, qui da me quindi tutto ok rete libera con terminali liberi (o MacOSX) un sogno.
Presso il nostro ente è stato un delirio: guarda caso l'infezione ha preso piede proprio nel periodo in cui mi sono ammalato (e quindi non ero presente sul posto).
Il mio collaboratore non è riuscito a venirne a capo.
Al mio rientro, dopo la Befana, sono riuscito a tamponare usando la ISO CD Linux messa a disposizione da Kaspersky (e che avevi segnalato proprio tu qualche tempo fa).
L'attacco mi ha danneggiato principalmente macchine con WinXP Home non aggiornate con SP2 (ebbene si, ne esistono ancora, ma sarebbe troppo lungo spiegarne il perchè).
…
…
Kaspersky riesce ad eliminare il file infetti: il problema è che restano tracce nel registry e, soprattutto, poi non è più possibile accedere via rete alle share condivise (stampanti e cartelle) originariamente presenti sulle macchine.
Regedit non eseguibile, Windows Firewall non accessibile (e disattivato) sono riuscito a risolverli con "modifiche coercitive" al registry tramite file .reg scritti ad hoc, ma il problema della non accessibilità alle share no !
Ho provato di tutto, anche l'installazione forzata di gpedit.msc (che su WinXP Home non è presente) e modifiche ad hoc ad alcune chiavi di registro, ma senza risultato.
Su una macchina che doveva essere urgentemente ripristinata, sono ricorso all'inevitabile "formattone" e copia successiva dei documenti precedentemente salvati, ma ho ancora altre macchine nella stessa situzione e reinstallare tutto è un suicidio…
Qualche suggerimento in merito ?
[OFF TOPIC]
Continuo a nutrire forti perplessità sull'uso di IntenseDebate :-(
Ho dovuto "splittare" il mio commento precedente in due parti perchè lo segnalava come "troppo lungo" …
Non sai quanto mi trovi d'accordo… il mio vero problema sono varie "cause di forza maggiore", piuttosto lunghe da spiegare, che impediscono di creare uns situazione ottimale
Ovviamente il problema (compreso il mio) sta nel non tenere aggiornate le macchine. La patch risale a ottobre e, ad averla installata, si sarebbe evitato il grosso dei problemi. L'ideale sarebbe rimuovere quel grosso malware che producono, in varie versioni, a Redmond: mi attiverò per riuscirci al più presto :)
Patcha tutte le macchine e fai una scansione completa sulle macchine quando hai un periodo scarico o durante la notte (chiaramente tenendo accese tutte le macchine), non si sa mai (comunque anche io ho subito il colpo solo su pochi clienti).
Idem dal cliente più colpito dove non si era voluta adottare la soluzione WSUS suggerita dal nostro team molto tempo addietro, ma tant'è. Ora -guarda caso- si sta lentamente pensando & passando a soluzioni che possano tenere sempre aggiornato il parco macchine (WSUS nello specifico) e controlli più cattivi da parte della piattaforma AV.
Ecco, il tuo caso applicato nel mio caso è proprio un sogno. Mai e poi mai potranno passare a piattaforma Unix-Like & MacOS (che poi deriva sempre da li) :(
E' il servizio "Server" che ti da questa serie di rogne, possibile che tu non riesca proprio a tirarlo su? Che antivirus avete li da te?
Porta pazienza, è un codice in costante aggiornamento, questo non vuol dire che -nel caso in cui continui così- io non decida di cassarlo completamente ;P
Benvenuto / Bentrovato nel club. Stessa situazione, fortunatamente agli utenti non troppo "alti" riesco ancora ad impartire l'ordine "Ignora l'avviso e prosegui con il tuo lavoro", non so quanto ancora sopporterò ;P
Uso da anni Symantec Antivirus Corporate (ora sono fermo alla 10.0).
Ma soto seriamente pensando di eliminarlo: NON è mai stato utile in nessuna situazione seria (vedi ad esempio il problema Gromozon di 2 anni fa, dove ho risolto tuto "a manina").
Purtroppo la maggior parte degli antivirus, sembra che rimuovano Conficker, ma lascino attivi tutta una serie di "effetti collaterali", tipo chiavi di registro farlocche ed altre amenità.
Il serzio server è attivo ! Il problema è che sono stati cambiati i permessi dal virus e l'antivirus non riesce a ripristinarli … :-(
Secondo il mio modestissimo parere, con la versione 2.7 di WordPress, i nuovi commenti nidificati rendono obsoleti i servizi come IntenseDebate.
Inoltre il vantaggio è che i commenti "restano a casa tua" ;-)
Inoltre il sottoscritto ha già adeguato il "quote" anche al nuovo sistema: lo trovi attivo da un mese su MBT (A brevissimo il rilascio del plugin ;-))
Non ti preoccupare, nel momento in cui deciderò di "farlo fuori" ho già a disposizione la sincronizzazione attiva tra IntenseDebate (loro DB) ed il database interno dei commenti ;)
Beh, qui da me visto che il wsus non funziona sto applicando la sp2 + patch a manazza con psexec. Il problema grosso è che questo worm viaggia in parallelo su chiave usb, quindi anche l'utente dovrebbe fixare il problema a casa, altrimenti è una battaglia contro i mulini a vento…yahoooooooooo…
Puoi tamponare il problema disabilitando l'autorun (cosa che non fa mai male, a prescindere a questo problema): http://tinyurl.com/88hglz
PsExec a manazza su migliaia di utenti diventa impegnativo, fidati :P
Comunque si, è importante sensibilizzare l'utente riguardo l'utilizzo di dispositivi di memoria USB che possono trasportare "comodamente" l'infezione ;)
Si Matteo, l'autorun è stato già disabilitato da policy di dominio (prontamente, appena scoperta l'infezione), ho dimenticato di suggerirlo nel post ;)
Lo so che è impegnativo, ma fatto a gruppi di 10/15 al giorno per 300 client è l'unico modo per forzare l'installazione. Per quanto riguarda il virus su usb, che il trend non rileva, sto provvedendo a mandare in giro il fix algi utenti "critici" così che anche a casa possano dare un bella pulita…altrimenti…i mulini ci aspettano…;)
Roberto: per un gruppo di 300 client si riesce ancora a gestire. La cosa diventa preoccupante quando iniziamo a parlare di 1000/1500 client (a Milano la mia casistica) dove ho 2 tecnici di supporto OnSite che non hanno solo questa problematica da gestire, ecco perché Sophos in questo caso si è rivelato prezioso insieme ai vari documenti linkati nel post :P
Ciao Giovy,
La prossima volta che ci vediamo (FLCG, immagino) ti racconto il burdello che è successo e che per una volta tanto non solo non ci ha visto coinvolti ma anzi ci ha permesso di cavalcare l'onda! :D
No prob Simo, ascolterò ben volentieri :D
Questa storia voglio sentirla anche io! ;)