[SECURITY-L] CAIS-Alerta: Atividade gerada pelo Stumbler (Trojan 55808)
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Sex Jun 27 15:18:27 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Atividade gerada pelo Stumbler (Trojan 55808)
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 27 Jun 2003 14:13:05 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
Nas ultimas semanas o CAIS tem acompanhado varias discussoes relacionadas
ao trafego de pacotes TCP com certa caracteristica marcante: o Window
Size de tamanho 55808. Os sistemas de monitoramento do CAIS identificaram
trafego deste genero, direcionado a porta 21 (FTP).
Ate' o momento foram capturadas e analisadas duas versoes do "malware"
(ferramenta hacker) que estaria gerando este trafego, batizado de Stumbler
e tambem chamado de Trojan 55808. Existem alguns questionamentos se as
copias obtidas sao a fonte original dos pacotes ou se foram desenvolvidas
para imitar o trafego que comecou a ser detectado durante a segunda semana
do mes de Junho.
A analise do Stumbler indica que sua funcao e' realizar atividade de
reconhecimento (scanning) de forma distribuida, dificultando a
identificacao da origem da atividade (stealth scanning), ja' que o
endereco IP origem dos pacotes gerados por ele e' forjado. O funcionamento
e' melhor descrito a seguir.
Os pacotes possuem as seguintes caracteristicas:
. Pacotes TCP SYN com Window Size = 55808
. IP origem e IP destino aleatorios
. Porta Origem e Porta Destino diversas variados
O processo de mapeamento comeca com o envio de pacotes TCP SYN com a porta
desejada para as maquinas alvo. Como a origem e' forjada esses pacotes sao
capturados em transito por maquinas infectadas com o "Stumbler". A maquina
onde esta' instalada o malware coloca a placa de rede em modo promiscuo
para poder capturar todos os pacotes e entao identificar quais possuem o
Window Size especifico. Essas informacoes sao coletadas, armazenadas e
posteriormente enviadas a um IP especifico.
O IP destino dos dados coletados nas versoes analisadas e' 12.108.65.76.
No entanto este IP pode ser alterado remotamente com o envio de um pacote
TCP especialmente construido.
As maquinas infectadas com o Stumbler apresentam as seguintes
caracteristicas:
. presenca do arquivo /tmp/.../a (ccdigo executavel do "Stumbler")
. presenca do arquivo /tmp/.../r (dados coletados pelo "Stumbler")
Maiores informacoes:
"Stumbler" Distributed Stealth Scanning Network
. http://xforce.iss.net/xforce/alerts/id/advise146
Intrusec Alert: 55808 Trojan Analysis
. http://www.intrusec.com/55808.html
Window Size 55808 packets
. http://isc.sans.org/diary.html?date=2003-06-22
O CAIS estara' acompanhando a evolucao deste caso, mantendo-os informados
sobre novos desdobramentos do mesmo.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBPvx7KOkli63F4U8VAQG48AQAtHapJbBIEzopAGUcAByI3dvGy3I8Eskx
Te91JaxfPPWar6goc2/D240cDuE7jfi+4cLx0MmfY+0yi8kAIln8c94ED1bkkD+H
YxuCipCBkgv1xgC3lEs44ReCdRW/ZLPRUKturcVUwuy6ElArxPNJhY3Z3p8Q0oZt
Cyav+WvmV3U=
=1EWq
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L