'conficker'에 해당되는 글 2건

  1. 2013.08.05 NMAP을 사용한 Conficker 탐지(Scanning)
  2. 2010.01.04 Conficker 웜과 MSRT
2013. 8. 5. 15:50

NMAP을 사용한 Conficker 탐지(Scanning)

■ Install

1. 다운/패키지설치(소스설치-비추천 : http://nmap.org/download.html)

wget  http://nmap.org/dist/nmap-5.00-1.i386.rpm
rpm -vhU nmap-5.00-1.i386.rpm



2. nmap 사용 ( 콘피커 관련 설정 )

nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns,smb-os-discovery --script-args safe=1 10.1.1.10

* 맨끝에 10.1.1.10을 타겟이 될 Windows 관련IP로 변경하시면 됩니다.


■ 사용 예제

1-1. 콘피커 비감염시 - 간편모드(grep만 줫을뿐입니다)

[root@localhost /]#  nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns 10.1.1.10  | grep Conficker

|  Conficker: Likely CLEAN



1-2. 콘피커 비감염시 - 관련 풀모드

[root@localhost /]#  nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns 10.1.1.10  

.................
Host script results:
|  smb-check-vulns:  
|  MS08-067: FIXED
|  Conficker: Likely CLEAN
|_ regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)



2-1. 콘피커 감염시 - 간편모드(grep만 줫을뿐입니다)

[root@localhost /]#  nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns 10.1.1.10  | grep Conficker

|  Conficker: Likely INFECTED



2-2. 콘피커 감염시 - 풀모드

[root@localhost /]#  nmap -PN -T4 -p139,445 -n -v --script smb-check-vulns 10.1.1.10  | grep Conficker

.................
Host script results:
|  smb-check-vulns:
|  MS08-067: FIXED
|  Conficker: Likely INFECTED
|_ regsvc DoS: VULNERABLE



■ Reference
NMAP : http://nmap.org
NMAP 스크립트 : http://nmap.org/nsedoc/index.html



출처 : dec9.tistory.com



Trackback 0 Comment 0
2010. 1. 4. 15:59

Conficker 웜과 MSRT

마이크로소프트에서 매월 MSRT (악성 소프트웨어 제거 도구, Malicious Software Removal Tool)라는 간단한 안티바이러스 툴을 자동 업데이트와 윈도우 업데이트로 배포하고 있습니다. 패치와 함께 다운로드되고 실행돼 시스템을 스캔해 악성 코드가 있으면 제거합니다. 그런데 일반적인 상용 안티바이러스 제품처럼 실시간 모니터하는 기능은 없으며, 악성 코드로 진단하는 대상도 아주 작습니다. 그 때 그 때 유행하고 있으며 위험도가 큰 100여개의 악성 코드와 그 변종만을 검색합니다. 아주 가볍게 만든 툴이지요.

아래 그림에서 보시는 것처럼 Conficker는 다양한 감염 경로를 가집니다. 클릭하면 저희 악성 코드 대응팀(MMPC) 블로그로 갑니다.

윈도우의 서버 서비스 취약점을 공격하기 때문에 이를 해결하는 보안 패치 MS08-067을 반드시 설치해야 합니다. 이 MS08-067 보안 공지는 지난 10월에 예정에 없이 긴급하게 나왔던 것인데 웜 형태의 공격이 수차례 예견되고 작년에 실제 나타났던 일이 있습니다.

이 취약점 공격만큼 흔한 공격 경로가 네트워크 공유에 암호를 몇 백 가지 대입하는 brute force 공격입니다. Conficker.B 페이지의 두 번째 탭, Analysis를 열면 얘가 가지고 있는 암호 대입 사전이 보입니다. 중요 서버의 관리자 암호를 이 중 어떤 것으로 했다가 이번에 악성 코드에 감염되어 땀 좀 흘리신 분이 계실 겁니다.

또 USB 메모리 같은 이동식 디스크의 autorun을 통해서도 감염됩니다. 이를 막으려면 자동 실행 기능을 끄든지, 잘 잡는 안티바이러스 제품의 실시간 모니터링 기능을 반드시 켜 놓아야 합니다.

전하는 소식에 의하면, 이번 Conficker는 검색을 피하기 위해 자신을 변형시키는 polymorphism 기능이 약간 진화한 점이 있어 안티바이러스 업체에서는 약간의 추가 작업이 필요했다고 하네요.

윈도우 취약점의 보안 패치 설치, 안티바이러스 제품 사용, 방화벽 사용, 이동식 디스크 사용 주의, … 온갖 예방 및 주의 방법이 동원되는 악성 코드이니 기업의 IT 관리자와 가정 사용자 모두 주의가 필요합니다. 이미 감염된 경우 MSRT를 다운로드 받아 실행해 보시기 바랍니다.


출처 : http://blogs.technet.com


Trackback 0 Comment 0