[SECURITY-L] CAIS-Alerta: Atividade gerada pelo Stumbler (Trojan 55808)

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Sex Jun 27 15:18:27 -03 2003 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Atividade gerada pelo Stumbler (Trojan 55808)
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 27 Jun 2003 14:13:05 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

Nas ultimas semanas o CAIS tem acompanhado varias discussoes relacionadas
ao trafego de pacotes TCP com certa caracteristica marcante: o Window
Size de tamanho 55808. Os sistemas de monitoramento do CAIS identificaram
trafego deste genero, direcionado a porta 21 (FTP).

Ate' o momento foram capturadas e analisadas duas versoes do "malware"
(ferramenta hacker) que estaria gerando este trafego, batizado de Stumbler
e tambem chamado de Trojan 55808. Existem alguns questionamentos se as
copias obtidas sao a fonte original dos pacotes ou se foram desenvolvidas
para imitar o trafego que comecou a ser detectado durante a segunda semana
do mes de Junho.

A analise do Stumbler indica que sua funcao e' realizar atividade de
reconhecimento (scanning) de forma distribuida, dificultando a
identificacao da origem da atividade (stealth scanning), ja' que o
endereco IP origem dos pacotes gerados por ele e' forjado. O funcionamento
e' melhor descrito a seguir.

Os pacotes possuem as seguintes caracteristicas:

	. Pacotes TCP SYN com Window Size = 55808
	. IP origem e IP destino aleatorios
	. Porta Origem e Porta Destino diversas variados

O processo de mapeamento comeca com o envio de pacotes TCP SYN com a porta
desejada para as maquinas alvo. Como a origem e' forjada esses pacotes sao
capturados em transito por maquinas infectadas com o "Stumbler". A maquina
onde esta' instalada o malware coloca a placa de rede em modo promiscuo
para poder capturar todos os pacotes e entao identificar quais possuem o
Window Size especifico. Essas informacoes sao coletadas, armazenadas e
posteriormente enviadas a um IP especifico.

O IP destino dos dados coletados nas versoes analisadas e' 12.108.65.76.
No entanto este IP pode ser alterado remotamente com o envio de um pacote
TCP especialmente construido.

As maquinas infectadas com o Stumbler apresentam as seguintes
caracteristicas:

	. presenca do arquivo /tmp/.../a (ccdigo executavel do "Stumbler")
	. presenca do arquivo /tmp/.../r (dados coletados pelo "Stumbler")


Maiores informacoes:

	"Stumbler" Distributed Stealth Scanning Network
	. http://xforce.iss.net/xforce/alerts/id/advise146

	Intrusec Alert: 55808 Trojan Analysis
	. http://www.intrusec.com/55808.html

	Window Size 55808 packets
	. http://isc.sans.org/diary.html?date=2003-06-22


O CAIS estara' acompanhando a evolucao deste caso, mantendo-os informados
sobre novos desdobramentos do mesmo.


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP      #
#                                                              #
# cais em cais.rnp.br     http://www.cais.rnp.br                  #
# Tel. 019-37873300    Fax. 019-37873301                       #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQCVAwUBPvx7KOkli63F4U8VAQG48AQAtHapJbBIEzopAGUcAByI3dvGy3I8Eskx
Te91JaxfPPWar6goc2/D240cDuE7jfi+4cLx0MmfY+0yi8kAIln8c94ED1bkkD+H
YxuCipCBkgv1xgC3lEs44ReCdRW/ZLPRUKturcVUwuy6ElArxPNJhY3Z3p8Q0oZt
Cyav+WvmV3U=
=1EWq
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L