|
||||||||||||
|
Nota sul Virus NIMDA della Polizia Postale e delle
Telecomunicazioni. Si tratta di un nuovo worm (un virus che ha come scopo principale quello di propagarsi il più possibile) che si avvale di molteplici metodi di diffusione: - Da client a client a mezzo di posta elettronica Vengono inviati dei messaggi di posta elettronica con allegato un file eseguibile, genericamente denominato README.EXE, che il ricevente esegue automaticamente se non ha applicato la patch rilasciata da Microsoft per correggere la vulnerabilità nota come "Automatic Execution of Embedded MIME types" descritta nell'advisor: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp e corretta dalla patch reperibile all'indirizzo: http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp La Microsoft precisa che Internet Explorer 5.01 con Service Pack 2 non risulta affetto da questa vulnerabilità e che la stessa è stata inserita nella patch rilasciata per l'advisor MS01-027. - Da client a client tramite condivisioni di rete: Il virus copia se stesso nella cartella Windows con nome load.exe e riched20.dll (settando per entrambi l'attributo file "hidden"), oltre a diffondersi nelle unità di rete in condivisione. La diffusione in questo caso è mitigabile disabilitando tutte le condivisioni o limitandole A SOLA LETTURA per tutti gli utenti, finché l'infezione non viene rimossa. - Da Web server a client: Il virus effettua una ricerca di tutti i contenuti web (per esempio file .HTM, .HTML, .ASP, DEFAULT, INDEX, MAIN, ecc.), una volta trovati, crea il file README.EML ed aggiunge un Javascript al termine dei predetti file web. Quando un utente naviga sulle pagine web infettate, lo script trasferisce il file README.EML nel sistema del navigatore. Se quest'ultimo non è protetto dalla già esposta, vulnerabilità nota come "Automatic Execution of Embedded MIME types",il codice virale viene eseguito ed ha inizio un ulteriore ciclo di riproduzione. · Da client a Web Server: Il virus quando attivo, effettua una scansione alla ricerca di host con IIS (Internet Information Server) vulnerabili alla debolezza nota come "Web folder trasversal vulnerabilità" e documentata e corretta dalla Microsoft con l'advisor: http://www.microsoft.com/technet/security/bulletin/MS01-044.asp Un ulteriore metodo di propagazione consiste nel ricercare host che presentano la backdoor lasciata da altri codici virali noti come "CODE RED II" e "SADMIND/IIS" la cui documentazione e reperibile tra l'altro presso il sito del centro di coordinamento del Computer Emergency Response Team della statunitense Carnagie Mellon University: Soluzioni nel campo dei prodotti antivirus: I maggiori produttori di software antivirus oltre a rilasciare degli aggiornamenti ai loro prodotti per la rilevazione e rimozione del virus, hanno messo a disposizione in forma gratuita dei programmi che permettono la rimozione automatica del virus: La TREND MICRO permette di scaricare dall'indirizzo: www.antivirus.com/vinfo/security/fix_nimda1.zip Si tratta di un tool che permette di risolvere il problema senza la necessità di riavviare il sistema, terminando automaticamente l'esecuzione del virus se già attivo nel sistema, rimuovendo le tracce del codice virale dai file di registro di MS-Windows, effettuando la scansione dei file, eliminando quando possibile solo il virus e verificando la presenza di riferimenti a NIMDA in eventuali pagine web. Il tool è corredato di note esplicative che si suggerisce di leggere all'indirizzo: http://www.antivirus.com/vinfo/security/readme_nimda.txt La NETWORK ASSOCIATES (MCAFEE) all'indirizzo: http://vil.nai.com/vil/virusSummary.asp?virus_k=99209 mette a disposizione una scheda informativa del virus e dal link: http://download.nai.com/products/mcafee-avert/NimdaScn.zip permette di scaricare un tool da utilizzare per verificare e rimuovere l'infezione, eliminare le condivisioni create dal virus e le relative chiavi del registro di MS-Windows. La SYMANTEC all'indirizzo: http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html fornisce una scheda informativa del codice virale e tutte le informazioni necessarie all'aggiornamento dei suoi prodotti per la rilevazione ed eliminazione del virus informatico. La CENTRAL COMMAND all'indirizzo: http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010918-000005 fornisce oltre ad una scheda informativa sul virus, in forma gratuita,un apposito tool per la rimozione del virus, che invia via email dopo una breve fase di registrazione. La DATA FELLOWS all'indirizzo: http://www.datafellows.com/nimda/ fornisce un'accurata descrizione del virus e delle sue modalità di propagazione, comunicando tra l'altro che il solo utilizzo del loro prodotto antivirus "F-Secure Anti-Virus", con gli ultimi aggiornamenti, rileva e rimuove le infezioni di Nimda. Ma una completa disinfezione del sistema necessita di ulteriori azioni da eseguire manualmente. La COMMAND SOFTWARE all'indirizzo: http://www.commandcom.com/virus/nimda.html offre una breve introduzione al virus, rimandando all'advisor del CERT per ulteriori dettagli e suggerendo di aggiornare il suo prodotto antivirus "Command Antivirus" alla versione 4.58.3 con il file di definizioni datato 19//09/2001. La SOPHOS all'indirizzo: http://www.sophos.com/virusinfo/analyses/w32nimdaa.html fornisce una descrizione del virus, suggerendo di scaricare il "virus identity file (IDE)" utilizzato dal suo prodotto antivirus, che hanno avuto cura di aggiornare in data 18/09/2001 e che sarà inserito nella versione di Sophos Anti-Virus (3.51) prevista per Novembre 2001. Altri danni rilevati: Per quanto concerne ulteriori danni, è documentato che il worm è in grado di infettare anche i file EXE come un qualsiasi virus e pertanto alcuni file originali vengono rimpiazzati da una copia del worm. Inoltre produce una sorta di Denial Of Service in conseguenza delle scansioni di rete che effettua e dei messaggi email che invia, a tal proposito si riporta un estratto del messaggio del Dr. Francesco Palmieri del CERT GARR, postato nella mailing list concernente la sicurezza del GARR, in cui vengono descritte delle tecniche in sperimentazione per contrastare il DOS prodotto dal virus per la sua propagazione in riferimento alle vulnerabilità che sfrutta e da cui possibile trarre spunto per interventi diretti sui dispositivi di rete che forniscono connettività (router): Inizio testo GARR CERT
Router(config)#ip cef Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*default.ida*" Router(config-cmap)#match protocol http url "*x.ida*" Router(config-cmap)#match protocol http url "*.ida*" Router(config-cmap)#match protocol http url "*cmd.exe*" Router(config-cmap)#match protocol http url "*root.exe*" ! Rainbow code hook Router(config-cmap)#match protocol http url "*/..*/*" Successivamente va definita la policy di scarto totale del traffico individuato (i rates non sono significativi dato che scartiamo tutto): Router(config)#policy-map police-inbound-http-hacks Router(config-pmap)#class http-hacks Router(config-pmap)#police 8000 1500 1500 conform-action drop exceed-action drop violate-action drop e finalmente va applicato il cass-based policing a livello di border interface: Router(config)#int atm 0/0/0.1 Router(config-if)#service-policy input police-inbound-http-hacks Questa soluzione, che ha dalla sua il fatto di minimizzare l'impatto a livello di performance, ed e' quindi adatta all'applicazione a livello di backbone provider, offre per? minima visibilità circa il traffico oggetto di scarto. E' possibile combinare l'NBAR con il filtraggio a livello di ACL con una soluzione più "pesante" ma con un controllo granulare sul traffico scartato, peraltro consigliata direttamente dalla Cisco TAC, che ritengo più adatta all'applicazione a livello delle singole realtà collegate: Si parte come al solito dalla stessa class-map: Router(config)#ip cef Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*default.ida*" Router(config-cmap)#match protocol http url "*x.ida*" Router(config-cmap)#match protocol http url "*.ida*" Router(config-cmap)#match protocol http url "*cmd.exe*" Router(config-cmap)#match protocol http url "*root.exe*" ! Rainbow code hook Router(config-cmap)#match protocol http url "*/..*/*" Successivamente va definita la policy-map che governa il marking attraverso l'uso di uno specifico "DiffServ" DSCP del traffico sopra individuato: Router(config)#policy-map mark-inbound-http-hacks Router(config-pmap)#class http-hacks Router(config-pmap)#set ip dscp 1 la policy di marking va quindi applicata a livello di border interface: Router(config)#int atm 0/0/0.1 Router(config-if)#service-policy input mark-inbound-http-hacks ed infine tutto il traffico associato al DSCP di cui sopra va filtrato attraverso un'opportuna ACL (tutti i tentativi di propagazione saranno loggati): Router(config)#access-list 105 deny ip any any dscp 1 log Router(config)#access-list 105 permit ip any any che naturalmente va applicata alle interfacce di accesso alla rete interna: Router(config)#int fast 0/0/0 Router(config-if)#ip access-group 105 in Consiglio di applicare la stessa policy anche nella direzione opposta (ad es. in ingresso sulla eth di accesso al border router) con ACL applicata in out sulla border interface per bloccare il traffico delle proprie macchine già compromesse verso l'esterno. Vi ricordo che disponibilità di tutte le funzionalità necessarie rapportate alle versioni minimali di IOS disponibili sulle varie piattaforme cisco e' riportata nella tabella seguente: Piattaforma minima versione IOS 7500 12.1(6)E FlexWAN 12.1(6)E 7200 12.1(5)T 7100 12.1(5)T 3660 12.1(5)T 3640 12.1(5)T 3620 12.1(5)T 2600 12.1(5)T 1700 12.2(2)T |
|
|
Franco Russetti f.russetti@infoleggi.com Foto e contenuti sono liberamente riproducibili da agenzie, giornali e siti internet, ma con l'obbligo di indicare la fonte: infoleggi.com |
|
