Detecta y controla las infecciones Conficker sin antivirus

Muchos de nuestros clientes potenciales nos comentan que han tenido o aún tienen problemas para detectar los equipos infectados con el malware Conficker o Downadup en su red.

Este malware tiene ya más de 3 años desde que fue visto por primera vez y, todavía sigue siendo un dolor de cabeza para los administradores de red, considerando también que algunos clientes potenciales no han implementado una solución de manejo de parches (patch management) o incluso una solución de inventario para conocer cuántos endpoints tienen en la organización y dónde están.



Comparto textualmente el documento #61259 del website de soporte de Sophos donde se explica paso a paso varias opciones para detectar los endpoints que tienen activo el malware:

__________________________________________________________

Qué hacer

Existen varias herramientas que puede utilizar para encontrar los equipos infectados con Conficker en la red

1. Registros de eventos de seguridad
2. Herramientas para el control de la red
3. Cortafuegos con registros (por ejemplo, Sophos Client Firewall)

Situación A: Conficker se propaga utilizando una vulnerabilidad
Síntomas habituales:

• Aparecen archivos de Conficker con extensión .dll en la carpeta System32
• El escaneado HIPS de Sophos genera alertas de desbordamiento del búfer acerca de svchost.exe

En una red correctamente administrada, esto no debería ocurrir. Si Conficker se está propagando aprovechando la vulnerabilidad, es necesario que aplique el parche MS08-067 a los ordenadores. El parche es válido para todos los sistemas operativos basados en Windows NT, independientemente del service pack. ¡Aplique los parches de seguridad!
Para descubrir el origen de la infección, debe instalar Wireshark en el equipo correspondiente.


Situación B: Conficker se propaga utilizando el uso compartido de archivos e impresoras
Síntomas habituales:

• Aparecen archivos de Conficker con extensiones aleatorias en la carpeta System32
• Los equipos parcheados se vuelven a infectar
• Ciertas cuentas se bloquean

Este es el método más habitual para la propagación de Conficker, ya que resulta efectivo incluso en equipos que cuentan con el parche MS08-067.
Existen varias formas para controlar este tipo de infecciones:

1. La mejor forma de detectar este tipo de infecciones es mediante los registros de eventos de seguridad del controlador del dominio.

1. Active la auditoría de la siguiente manera:
   • Inicio | Herramientas administrativas | Controlador de dominio | Directiva de seguridad
   • Directivas de seguridad | Directivas locales | Directiva de auditoría | Auditar sucesos de inicio de sesión
   • Seleccione la opción “Correcto, erróneo”.
2. Vaya a los controladores del dominio y abra el visor de eventos.
3. Vaya a los registros de los eventos de seguridad.
4. Encontrará numerosos intentos fallidos de inicio de sesión. El evento que le interesa es “529”.
5. Abra los eventos 529 y vea el nombre del equipo (vea la captura de pantalla).
6. Puede aparecer el nombre del equipo o la dirección IP de cada estación con Conficker activo.
7. Asegúrese de que el equipo cuenta con el parche.
8. Instale Sophos Anti-Virus, escanee el equipo y límpielo.

Los registros de los eventos de seguridad ofrecen listas de varios equipos y son la herramienta más útil para localizar equipos infectados con Conficker.
En el ejemplo, el nombre de la estación es FNDPC042.

Nota:
Si descubre que algún controlador del dominio está afectado, límpielo, protéjalo y aplique los parches necesarios. En el equipo afectado, compruebe el evento 529 a la misma hora. Éste indicará la estación que causó el fallo inicial.
Si cuenta con más de un controlador de dominio, busque los fallos en todos los registros de eventos de seguridad.


2. El segundo método para la localización de equipos infectados es mediante la utilización de herramientas para el control de la red, como Wireshark.

1. Descargue e instale Wireshark en un equipo en el que el equipo infectado con Conficker suelte archivos constantemente.
2. Inicie sesión en Wireshark.
3. En Sophos Anti-Virus, anote el archivo de Conficker detectado en la carpeta System32.
4. Limpie los archivos de Conficker.
5. Cuando el equipo vuelva a detectar Conficker, detenga el registro de Wireshark.
6. En el registro de Wireshark, pulse Control-F para abrir la ventana de búsqueda.
7. Realice la búsqueda en las cadenas.
8. Escriba el nombre del archivo que Conficker ha soltado en la carpeta System32 del equipo.
9. Obtendrá la dirección IP del equipo en el que se origina la infección.

3. El tercer método, es utilizar Sophos Client Firewall (si se incluye en la licencia).

1. En Sophos Anti-Virus, limpie los archivos de Conficker.
2. Abra el registro del cortafuegos haciendo clic con el botón derecho en el icono de Sophos Client Firewall.
3. Puesto que el equipo se ha vuelto a infectar, aparecerá en la sección de conexiones permitidas.
4. El tráfico de NetBIOS y la dirección IP del equipo que origina la infección aparecerá en la columna de direcciones remotas.

Importante:
Conficker no podrá propagarse si sigue al pie de la letra el artículo 51169


Situación C: Conficker se propaga utilizando medios extraíbles USB
Síntomas habituales:

• Detecciones de W32/ConfInf-A
• Los equipos parcheados se vuelven a infectar
• Equipos con el intercambio de archivos e impresoras bloqueado se vuelven a infectar

Sophos Anti-Virus detecta W32/ConfInf en unidades USB infectadas. El usuario deberá limpiar o formatear la unidad USB.

__________________________________________________

Fuente: www.sophos.com

Espero que este post sea productivo para ustedes, cualquier comentario será bienvenido.

__________________________________________________
Artículos relacionados:

• Conficker: La mayor amenaza en la red, 3 años después de su aparición
• 50 contraseñas que nunca debes utilizar en tu computador
• Evaluación técnica Endpoint Protection de Sophos, Symantec, Mcafee, Trend Micro y Kaspersky

__________________________________________________

Nuestra comunidad en Twitter @maes3consulting
Nuestra comunidad en Facebook maestresconsultingve
Visita nuestra Web www.maestre.com.ve