mercoledì 28 gennaio 2009

TippingPoint DVLabs: Analisi del Worm Conficker/Downadup

 
Il worm Conficker/Downadup ha iniziato a propagarsi sfruttando la vulnerabilità MS08-067 e ha colpito - secondo alcuni - più di otto milioni di personal computer nel mondo grazie a un metodo di attacco "blended" che sfrutta i punti deboli delle reti.
Le prime macchine a essere colpite sono stati i PC Windows a cui non è stata applicata la patch distribuita da Microsoft a ottobre, ma una volta dentro alla rete Conficker si è propagato sia con la brute force - attraverso l'identificazione delle password "deboli" - sia per mezzo di un eseguibile installato a insaputa dell'utente sulle memorie USB. Quindi, il worm Conficker/Downadup è diventato pervasivo a causa di questa strategia "eclettica" di infezione.
Lo sfruttamento delle vulnerabilità note del software è una tra le metodologie di infezione più utilizzate sin dai tempi del "venerabile" worm Morris.

La presenza di macchine prive di patch in una intranet aziendale è spesso il "buco" di sicurezza che virus e/o worm sfruttano per entrare nell'infrastruttura di rete, ed è per questo che i responsabili della sicurezza devono essere attenti e scrupolosi nella gestione delle patch.


I clienti TippingPoint non sono stati colpiti dall'infezione grazie alla collezione di filtri MS-RPC presenti sugli IPS, che incapsulano la vulnerabilità MS08-067. Gli autori di malware hanno fatto passi da gigante rispetto al 1988, e oggi i worm di maggior successo - misurato sulla base delle dimensioni dell'infezione nel tempo - utilizzano vettori di attacco multipli per garantire il processo di propagazione.

Qualcuno ricorda sicuramente la diffusione del worm Nimda, che - grazie alla sua "promiscuità" - è diventato il più diffuso nella storia dei computer dopo 22 minuti dal suo rilascio. Nimda si è diffuso rapidamente via Internet piazzando copie di se stesso su siti assolutamente innocui, e sfruttando un insieme di vulnerabilità del server Microsoft IIS.

Conficker ha ampliato il raggio d'azione a tre diverse metodologie: la brute force per l'identificazione delle password "deboli" sui dischi condivisi, le memorie USB portate dagli utenti all'interno delle reti, e la presenza della funzionalità autorun su tutti i PC Windows. Quando una memoria USB viene inserita su un PC un worm "normale" aggiunge la voce "esegui" al menù autorun, mentre Conficker/Donadup simula la presenza di una cartella da aprire, e questo incontra meno resistenza da parte degli utenti rispetto all'esecuzione di un programma.
Il metodo più efficace per prevenire questo tipo di infezioni è quello di restringere l'uso delle memorie USB all'interno delle reti aziendali, ma non sarebbe una cattiva idea disabilitare la funzionalità autorun su tutte le macchine Windows.

Per gli amministratori di rete, il worm Conficker/Downadup è stato un incubo. Per i ricercatori sulla sicurezza, è stato un incubo... molto interessante.
Con il passare del tempo, gli autori di malware - virus e worm - stanno diventando più scaltri, e questo porta a metodologie di infezione sempre più sofisticate. Il metodo di attacco "blended" conferma l'importanza di una strategia di protezione della rete su più fronti, basata su difese come gli IPS TippingPoint e best practice aziendali a protezione sia del traffico pericoloso sia delle attività offensive meno usuali, o addirittura "creative".