Controlado desde el
19/10/97 por NedStat
|
"Stumbler", una red distribuida y oculta de escaneo
|
|
VSantivirus No. 1078 Año 7, Viernes 20 de junio de 2003
"Stumbler", una red distribuida y oculta de escaneo
http://www.vsantivirus.com/ev-stumbler.htm
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
X-Force ha anunciado la aparición de un nuevo malware, que reporta un tráfico en Internet de paquetes TCP con una ventana de un tamaño de 55,808 bytes. Un sustancial aumento de tráfico ha sido capturado de varios sitos en todo el mundo, de lo que sería un sistema escaneador de puertos.
El análisis de X-Force se refiere a un cliente capaz de escanear e intercambiar datos de redes mapeadas desde otros clientes distribuidos en otros lugares de Internet. Se le ha dado a este software el nombre de "Stumbler".
El mapeo de redes y escaneo de puertos son técnicas undergrounds conocidas. Muchas veces es una manera de encontrar ciertas vulnerabilidades antes de atacar a alguna víctima. La tecnología de escaneo de redes ha sido cada vez más sofisticada, como respuesta a las tácticas defensivas que se han ido implementando contra los ataques y los intentos de escaneo.
Las herramientas anteriores eran muy fáciles de detectar, y aún más a la hora de descubrir su origen. Las nuevas generaciones emplean tácticas de ocultamiento y técnicas para enviar una gran cantidad de paquetes falsos para ocultar uno solo legítimo que es el que obtiene la respuesta de su escaneo.
Estas técnicas son las empleadas en Stumbler en conjunción con un tipo de arquitectura "distribuida". Cada agente intenta mapear una dirección IP y los correspondientes puertos abiertos, enviando a cada uno de estos, al azar, un paquete TCP SYN (Acrónimo de SYNchronization --Sincronización--. Carácter que se envía para establecer la sincronización en una comunicación ya establecida).
La dirección IP origen de cada paquete es falseada, y por lo tanto el agente no recibirá la respuesta que indicaría si esa dirección IP es accesible, y si determinado puerto está abierto.
La dirección MAC (la dirección de hardware que representa a la interface de red, y que es fija y única), también es falsa. Esto hace que localizar la fuente de los paquetes SYN sea algo muy difícil. El agente contiene un modo promiscuo de escaneo, lo que significa aceptar todos los paquetes que viajen a través de una interface de red.
La red se diseña para que cada agente escuche las respuestas falsas de todos los demás agentes.
La información mapeada es recolectada y enviada a una dirección IP específica. Stumbler utiliza conocidas librerías de redes, "Libpcap" y "Libnet".
Esta red de escaneo parece ser muy experimental, y ciertas porciones del código aparecen como no desarrolladas aún o contienen errores fatales.
La red implementada con el Stumbler no posee la capacidad de propagarse automáticamente y no intenta en ningún momento escanear o infectar otros hosts diferentes a los de su propia red.
Su capacidad de escaneo es usada solo con el propósito de recolectar información. El informe de X-Force dice que esta capacidad está limitada solo por el hecho de que es una red pequeña. Pero si se ampliara la misma (tal vez agregando alguna capacidad de gusano), sería una plataforma muy efectiva para mapear toda la red, realizar ataques de denegación de servicio (DoS) y controlar otros tipos de malware, como los bots (copias de usuarios en un canal de IRC, generados por un programa, y preparados para responder ciertos comandos que se les envía en forma remota).
Los ejemplos de Stumbler obtenidos hasta ahora, tienen su código encriptado con un simple XOR, y contienen direcciones IP definidas en el código (por lo tanto fijas). Stumbler examina si la conectividad con la red se ha perdido, y en caso de que ello ocurra termina su ejecución y se borra a si mismo del sistema.
Información para administradores
Se recomienda implementar alguna regla que notifique cualquier conexión con las direcciones mencionadas, por ejemplo:
alert tcp any any -> 12.108.65.76/32 22 (msg:"Stumbler Trojan";)
Otros signos de infección son la existencia de los archivos "/tmp/…/a" y "/tmp/…/r", o que la interface de red se encuentre en modo promiscuo.
Más información.
ELF/Trojan.Typot (Stumbler). Forma una red de escaneo
http://www.vsantivirus.com/typot.htm
"Stumbler" Distributed Stealth Scanning Network
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=22441
Intrusec Alert: 55808 Trojan Analysis
http://www.intrusec.com/55808.html
[Publicado con autorización de Enciclopedia Virus]
(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=174
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|