כלי command חינמי לביצוע עידכוני windows update

בשיטוטים האחרונים ברשת נתקלתי בכלי מעולה הנקרא- WuInstall1_1 מחברת xeox

הכלי כתוב ב C++ ומאפשר שימוש ב windows updateAPI לבדיקת עדכונים להם התחנה זקוקה

האפשרויות הם רבות וכוללות :

חיפוש בלבד

התקנה

התקנה+REBOOT

בנוסף קיימות אפשריויות לחיפוש עדכון מסויים או לפי סוג העדכון (SOFTWARE,DRIVERS וכדומה).

הכלי פונה לפי ההגדרות בתחנה ל WSUS או לשרתי WINDOWS UPDATE בהתאמה.

הגרסה בתשלום כוללת פיצ'רים נוספים

מעייו apt-get קטן לעידכוני חלונות.

ממליץ בחום לשילוב בסקיפטים .

להוריד מכאן

OWASP 2010 TOP 10

לצפיה -

The new OWASP Top Ten can be seen below:

A1 – Injection

A2 – Cross Site Scripting XSS

A3 – Broken Authentication and Session Management

A4 – Insecure Direct Object References

A5 – Cross Site Request Forgery (CSRF

A6 – Security Misconfiguration(NEW

A7 – Failure to Restrict URL Access

A8 – Unvalidated Redirects and Forwards (NEW

A9 – Insecure Cryptographic Storage

A10 – Insufficient Transport Layer Protection

METASPLOIT 3.3 RELEASED!

להורדה:

http://www.metasploit.com/

UserAssist - כלי נוסף וטוב ל FORENSIC WINDOWS

UserAssist

explorer שומר את רשימת התוכנות שהורצו על המחשב ב KEY - UserAssist ב REGISTRY

התוכנה יודעת לפענח את הנתונים ולהציגם בטבלה לפי סדר ההרצה או כל סדר אחר שנרצה.

לא פעם אחת נישאלתי במהלך עבודתי שאלה כמו :" האם אתה יכול להגיד לי מה העובד עשה על המחשב בתאריך X ?" - התוכנה הזאת היא עוד כלי עזר חשוב לנסיון מענה על שאלה כזאת .

להורדה:

http://blog.didierstevens.com/programs/userassist/

* התוכנה מחייבת dot net 2

* התוכנה מאפשרת קריאת קובץ REG מיובא ממחשב אחר.(COOL!)

האיום הפנימי - הגדרה ודרכים להתמודדות

הגדרה : עובד מועסק או מועסק לשעבר , שותף עסקי נוכחי או לשעבר שיש או שהיה לו גישה למערכות המידע של החברה ,וביצע בכוונת זדון שימוש לרעה,שיבוש,מחיקה וכו במידע .

ההגדרה הורחבה לאחרונה גם לשותפים עסקיים,ספקים וכו בשל הנטייה ההולכת וגוברת של הוצאת תהליכים ותמיכה במערכות המידע למיקור חוץ ( outsourcing ) , החל בחיבורים לצורך תמיכה במערכות מרכזיות כגוןWEB ,DATABASES,STORAGE וכלה בהוצאת קמפיינים , DATA MINING ומשימות אחרות לחברות צד שלישי וספקים.

ארגון CERT האמריאי ערך מחקר מקיף החל מ 1996 ועד היום וניתח קרוב ל 300 מקרים של התקפות ע"י גורמים המוגדרים פנימיים.

להלן חלק מהמסקנות שהגיעו אליהם:

ניתן לחלק את ההתקפות לשלוש קטגוריות מרכזיות:

1. חבלה - במקרים אלו התוקף מעוניין לגרום נזק לארגון או לאדם בארגון, מחיקת מידע , הורדת מערכות ,והפרעה לאופרציה הנורמלית בארגון - מתוך 300 - כ 100 מוגדרות כנסיון חבלה.
2. גנבת קניין רוחני- במקרים אלו התוקף גונב סודות חברה,תוכניות חברה,קוד פיתוח,תוכניות אסטרטגיות וכו . כ 40 מתוך ה 300 מוגדרים כגנבת קניין רוחני.
3. גניבה או טיפול במידע לצורך רווח כספי - בקטגורה זו נכללים גניבת או שינוי פרטים אישיים , כרטיסי אשראי וכו לצורך מכירה של המידע בשלב מאוחר יותר , ברוב המקרים התוקף הפנימי מקבל תשלום ע"י גורם חיצוני לביצוע העברה. כ 106 מקרים הם מסוג זה .
4. MISC - כ 46 מקרים בהן אין מספיק ראיות או מידע לשייך את ההתקפה לאחת מהקטגוריות.

כמובן שחלק מהמקרים מתפרסים על כמה קטגוריות ביחד.

50% מעובדים שביצעו עבירות מסוג זה החזיק במשרה טכנית בארגון.

נקודות חשובות באבטחת מידע שעלו מהמקרים .

• ברמת ניהול הסיכונים - יש להרחיב את מעגל האבטחה שיכלול את כל קבלני המשנה,נותני התמיכה,וספקים חיצוניים בעלי גישה למידע אירגוני - הקשחת והגבלת הגישה למשאבים ע"י גורמים אילו,ניטור ומעקב ככל הניתן לפעולות הנעשות ע"י הגורמים החיצוניים בתוך הארגון וכן ניתוק מידי של הקבלן בתום העסקתו עשויים למנוע התקפות דרך גורמים אלו
• need to know bases - ניתוח המקרים מעלה שברוב המקרים התוקף קיבל הרשאות גישה גבוהות בהרבה ממה שהיה צריך לעבודתו , באחד מהמקרים מצויין כי איש מכירות הצליח לגנוב קוד מקור של מוצר וזאת מכיוון שהיתה לו הרשאה לספריה שהיכילה קוד זה .הגבלת ההרשאות לצרכי עבודה היתה מונעת מקרה זה.
• הפרדת רשויות - פיצול פעולות קריטיות לגורם מאשר וגורם מבצע - בחקירת המקרים התגלה כי למרות שהפרדה זו קיימת ,במקרים רבים אין אכיפה באמצעים טכניים וגם אם קיימת , היא לא מבוצעת נכון. ברוב במקרים הפרדות אלו קיימות בעיקר "על הנייר".
• הפרדת ופיצול הרשאות בתוך קבוצת ה system administrators - מחקירת המקרים עלה שלא כל מנהלי הרשת צריכם גישה לניהול כל הרשת :) יש לנסות להפריד הרשאות גם בתוך הקבוצה הזאת דוגמא למיקרה שהובא היתה ,מנהל רשת זוטר שעמד לפני פיטורים אך עדיין היה בעל הרשאות ADMIN גורפות בארגון - דבר שאפשר לו לחבל בשרתים רבים וכן למחוק את הלוגים על פעילות זו ואף לכונונם שיצביעו על המנהל שלו כגורם האשם.
• ניהול חשבונות והרשאות - המחקר מעלה שרוב פעולות החבלה התבצעו לאחר הפיטורין אך בעזרת התחברות לרשת שהוכנה מראש ע"י העובד . בדרך כלל השימוש היה בחשבונות משותפים (משתמש אפליקטיבי)test,traning,sysadmin,dba וכו ,חשבונות שקשה מאד לזהות מי בעצם המשתמש האמיתי ה"מסתתר " מאחוריהם. במיקרים רבים מנהלי רשת יצרו חשבונות שנראו לצרכים לגיטימיים אך למעשה שימשו אותם להתחברות מרחוק לארגון לאחר הפיטורין.
• סיסמאות - מקרים רבים הראו כי משתמשים העבירו בינהם ססמאות בכדי לחסוך זמן ולבטל את הצורך בגורם אחד מאשר ואחד מבצע .
• סיסמאות חלשות - במקרים רבים מנהלי רשת וגורמים אחרים הריצו PASSWORD CRACKERS ופרצו לחשבונות ולקבצים מוגני סיסמה לצורך גניבת הרשומות.חלק מהחשבונות שנפרצו שימשו להם לאחר הפיטורים דרך להתחבר לארגון.
• auditing and log mamagment - במקרים רבים נראו גישה לשרתים רגישים והורדת downloads כמות גדולה של קבצים ,פרט מעניין נוסף הוא שרוב הפעולות מסוג זה נעשו בחלון זמן של 3-1 חודשים לפני פיטורי עובד או התפטרות - בדיקה של תבניות כאלו יכולות לעזור בגילוי מקרים של פעולה פנימית.
• חשיבות שיתוף פעולה בין מחלקות כוח אדם , IT ,מנהלים, והבעלים של המידע - חקירת המקרים מעלה שלא די באמצעי IT ( טכניים) בלבד לזיהוי פשע ההולך להיתבצע אלא חייב שיתוף פעולה עם מחלקות כוח אדם ובעלי המידע עצמו היודעים למי הצורך במידע ולמי לא בהתאמה לגורמים כגון פיטורים, מירמור בעבודה וכו.

FYI

הקשחות SSL בשרתי IIS

תקן PCI ותקנים נוספים מחייבים הקשחת מנגנון ה SSL HTTPS .

התקן מחייב - ביטול תמיכה לאחור ב ssl v 2 והקשחת אלגוריתם ההצפנה .

ההקשחה מתבצעת ב REGISTRY של שרת ה IIS וניתנת לבדיקת ע"י כלי של FOUND STONE = SSLDIGGER

http://stdout-dev-null.blogspot.com/2006/02/disable-ssl2-and-weak-ciphers-in-iis.html

השינויים:


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"Enabled"=dword:ffffffff





Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]

"Enabled"=dword:ffffffff

Security Event log logon/off תיזכורת

מדי פעם , אני נקרא לדגל בכדי לפענח פעילת תחנה או משתמש ברשת .
כחלק מהבדיקות הרבות שאני מבצע , אני מתיחחס גם לEVENT LOGS בתחנה וב DC לגבי אירועי LOGON\OFF
אך מתקשה לזכור את ה EVENT ID הרלוונטיים.
אז הנה רשימה קצרה לתזכורת (xp 2000):
לרשימה המלאה:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx

528 - Successful Logon

529 - Logon Failure - Unknown user name or bad password

530 - Logon Failure - Account logon time restriction violation

531 - Logon Failure - Account currently disabled

533 - Logon Failure - User not allowed to logon at this computer
534 - Logon Failure - The user has not been granted the requested logon type at this machine

535 - Logon Failure - The specified account's password has expired

536 - Logon Failure - The NetLogon component is not active

537 - Logon failure - The logon attempt failed for other reasons

538 - User Logoff

539 - Logon Failure - Account locked out

551 - User initiated logoff

552 - Logon attempt using explicit credentials

682 - Session reconnected to winstation

683 - Session disconnected from winstation

ZER0 DAY SMB V2

FYI
פירצת אבטחת התגלת בפרוטוקול SMB V2 שפותח ע"י מיקרוסופט ומיושם ב VISTA ו SERVER 2008

לפי שעה אין PATCH המתקן את חור האבטחה .
מיקרוסופט מציעה לבטל את השימוש בפרוטוקול זה ואף מספקת כלי ( FIXIT) המבצע זאת אוטומטית .
ניתן לוהוריד את הכלי כאן:
http://blogs.technet.com/srd/archive/2009/09/18/update-on-the-smb-vulnerability.aspx

cve id:
CVE-2009-3103

FYI

FLASH SECRETS - כלים לבדיקת ACTION SCRIPTS

שיכלול טכנולוגית ה FLASH מאפשרכיום לעשות הרבה מעבר להצגת גרפיקה .דפי LOGIN , הפניות ,ושאר ירקות מתאפשרות ע"י שימוש ב ACTION SCRIPTS .

במחקרים שעשו מצאו שהשימוש ב AS המקודד HARDCODED בקובץ ה FLASH הוא נרחב וכן רמת האבטחה בו נמוכה.

מפתחים מטביעים שמות משתמשים וססמאות,וכן הפניות לדפים חסויים בתוך הקוד בהנחה כי אין דרך לבצע שליפה של הקוד מתוך הקובץ.

האמנם?

מסתבר שאפשר וזה אפילו קל לחלץ ACTION SCRIPT מתוך קובץ SWF או כל פורמט FLASH אחר.

ניתוח של המידע הזה מאפשר לנו להבין פגיעויות באתר הן ברמת ה FLASH עצמו והן ברמת חשיפת פרטים נוספים.

2 כלים חינמיים שמצאתי חילוץ וניתוח AS

flare

hp swfScan

FYI

FOCA RC1- כלי חדש לחילוץ METADATA ממסמכים.

METADATA = מידע המוסף למסמכים וקבצים ע"י תוכנות עריכה למטרות שימוש התוכנות עצמם .

המידע יכול להכיל:

• תאריך ושעה בהם נוצר המסמך
• שם המתשמש שיצר את המסמך
• שם המחשב או השרת הפנימי
• כתובות דואר אלקטרוני
• נתיבים המסמכים
• שמות מדפסות

ניתן לעשות שימוש במידע זה בשלב איסוף הנתונים בהליך ה PENTEST ובמיוחד כשמבצעים BLACK BOX PENTEST.

FOCA - הוא כלי הלוקח את הגילוי והניתוח שלב אחד קדימה,ע"י הגדרת הדומיין שאותו אנו רוצים לחקור ,הוא מבצע חיפוש לכל סוגי המסמכים המאורכבים במנועי החיפוש ,מוריד אותם למחשב המקומי ,מבצע ניתוח של הMETADATA ומציג אותו לפי קטגוריות ( users,printers'computer'email) וכו.

להורדת הכלי

NMAP GUI חדש מבית K_ZEE

GUI פשוט יעיל ונוח להרצת NMAP המכיל פרמטרים להרצת של הסריקות הנפוצות וכל הסקריפטים החדשים.

כמובן שיש להתקין NMAP כהתקנה רגילה לפני השימוש ב GUI

להורדה

http://rapidshare.com/files/271595506/Nmap_GUI.rar.html

tiger team - Google Videos

הרצאה מעניינת במסגרת OWASP של מיסד TIGER TEAM

tiger team - Google Videos

הקבוצה עוסקת בפריצות משולבות הן פיזייות (אזעקות מנעולים וכו) והן דרך מחשב.

metasploit 3.3 dev -client side attack

בהמשך לפוסט מיום שבת שעבר, בmetasploit בגרסה 3.3 מאפשר לנו יכולות "יפות" לבדיקת חדירות של תחנות קצה בחברה.כאשר הבדיקה תכלול:

1. תחנת קצה הגולשת לאתר זדוני המנסה לחדור דרך פגיעות בדפדפן או בתוספים שונים.



2. מסמכים בפורמטים שונים הנשלחים במייל ומנצלים פגיעות באפליקציות (WORD,PDF וכו).
   

היכולות הבולטות הם:

• יצירת קובץ PDF או DOC המכוון לפגיעות אפליקטיבית בגרסאות התוכנה השונות
• הקמת אתר המכיל ACTIVE X המנצלים פגיעות הדפדפן ברכיב זה.

בכדי להפוך את הגרסה הרישמית לגרסת DEV המכילה את כל החידושים האחרונים יש להוריד SVN מ

$ svn co http://metasploit.com/svn/framework3/trunk/

לאחר מכן יש להריץ את ה CONSOLE מתוך ספרית ה TRUNK .

בכדי להבין כיצד מקימים אתר המנצל את הפגיעויות הנ"ל - סרט שווה אלץ תמונות

צפו בכל הסרטים של

http://vimeo.com/pauldotcom/videos/sort:date

הם מכילים הסבר מקיף ובכלל החברה האלה עושים עבודה טובה..

בהצלחה.

CLIENT SIDE ATTACKS ותחנות הקצה בארגון.

client silde attacks

קראקרים ברחבי העולם הבינו מזמן כי הדרך אל האושר עוברת תמיד דרך החוליה החלשה בשרRשרת.

או אם תרצו: KEYLOGGER = 1000 RAINBOW TABELS .

במקום להשקיע שבועות בפענוח נקודות התורפה של FW החברה ,או איזה חור אזוטרי אחר,

פשוט יותר זה לשכנע את יוסי מהכספים ללחוץ על לינק תמים ומשם "הם" כבר יעשו בשבילו את העבודה.

כל זה כמו שאמרתי - חדשות ישנות ואכן חברות משקיעות היום יותר בהגנה על המשתמש הפשוט בחברה .

אבל.. עדיין ניצבות בפני מנהל הרשת בעיות ניהול רבות בתחום לדוגמה:

1. ניהול PATCHS MICROSOFT- תהליך אטיי ומתמשך , היכולת "ליישר קו" מוגבלת וכלי הניהול השונים WSUSE,BIGFIX וכו עושים עבודה בינונית לכל היותר,דרישות ל RESTART והתנגשות עם אפליקציות קיימות IN HOUSE ושאר ירקות. בקיצור,לא נעים לבצע ROLLBACK ל6000 תחנות . מנהל רשת הגיוני יתקין רק את החלק הקריטי של העדכונים במקרה הטוב ,יפסח על עדכוני ה OFFICE ועדכונים "שוליים" אחרים ( REBOOT לעדכון MEDIA PLAYR? השתגעתם?) . גם תהליך הטמעת עדכונים ב IMAGES חדשים של החברה מצריך סט בדיקות ועדכון חודשי -שוב תוצאות בינוניות וחלקיות לכל היותר.
2. עדכוני אפליקציות אחרות- כמה מנהלי רשת מעדכנים את שאר האפליקציות ההכרחיות כיום לגרסה האחרונה? ADOBE,WINZIP וכו -מעט מאד.
3. ניהול חתימות עדכניות לאנטי וירוס.- גם כאן קשה מאד לקבל מיקשה אחד ברחבי הארגון , תחנות ב OFFLINE ,ניידים המתחברים ב VPN פעם בעשור , בעיות רשתיות מול שרת הניהול המרכזי ,שדרוגים הפוגעים ב CLIENT ושורה ארוכה של EXELUDES .גם כאן יסתפק מנהל הרשת ההגיוני ב75% הצלחה.
4. חסימת התקנים ניידים - גם כאן יאלץ מנהל הרשת לפתוח חסימות לאנשי VIP בחברה,צוותים טכניים שונים ושאר מקורבים.
5. personnal filrewall? hips? - קשים מאד לניהול והטמעה ,מיצרים גילויים שגויים (FP) ומכבידים על התחנות ועל העבודה השוטפת של המשתמשים.מנהל הרשת ,גם אם יטמיע פיצ'רים אלה ,תהיה זו ברוב המקרים הטמעה במינימום הקשחה.
6. הקשחת ססמאות,חינוך משתמשים ,הגנה פיזית,הצפנות וכו - גם כאן קיים שיפור כמובן אך הדרך עוד ארוכה.

כמו שאנו רואים - תחום הגנת תחנות הקצה אמנם השתפר אך עדיין ללא ספק לוקה בחסר .התקפות דרך תחנות הקצה בחברה יניבו פירות יפים ובאחוזים גבוהים .

בכל בדיקת חדירות , אני ממליץ לשלב גם client side attacks .

בפוסט הבא אני ידבר על metasploit 3.3 dev והשיפורים ביכולות לבצע התקפות מסוג זה דרכה.

conficker - מניעה-הגנה-גילוי-ניקוי

-קונפיקר בפעולה

...

איטיות כבדה ברשת הפנימית, גישות מוזרות לאינטרנט ושרתים שחדלו מלתת שירות נוrמלי .
טלפונים בהולים מאנשי הסיסטם והתקשורת בזמן ארוחת הצהריים שלי :" עשיתם שינוי בשרת ה AV?","הפצתם איזה משהו?"
אני עונה מיד שלא, ומסיים את הארוחה.
במשרד אני ניגש לבדוק לוגים בשרתי הAV - הכל רגיל,אך אני שם לב למיילים המתריעם על סריקת פורטים בSIM SOC שלנו...הממ משהו מוזר קורה.
בינתיים אנשי הסיסטם כבר מורטים שיערות ואני מנסה להבין את פשר הסריקות המוזרות בתוך הרשת .
מחשבים מנסים לצאת לאינטרנט בפורט 80 ולא דרך הפרוקסי...בעיית ניתוב? תקלה בהגדרות הפרוקסי?
שעה עוברת והתמונה מתחילה להיתבהר ,תמונה עגומה.
מחשבי הארגון סורקים את עצמם ולכיוון סגמטי השרתים בפורט 445 ללא הפסקה ,כל מחשב פותח חיבורים לפי יכולתו
10 - ++1000 ,חגיגה.
הלחץ מגיע לרמות חדשות , עכשיו זה כבר ברור : אני עד להתפרצות חזקה של וירוס ברשת .
אני בודק שוב ושוב את הלוגים מהאנטי וירוסים - נאדה! מה זה!
אנשי הסיסטם כבר מצאו לפחות 10 שמות של וירוסים המתאימים להתנהגות הוירוס ,אבל אף אחד לא מופיע לי על המסך.
אני מתקשר לאחד ממומחי הוירוסים בארץ שתמך בי פעמים רבות בעבר :"מה קורה איש, יש לנו ככה וככה...".
והוא עונה :" כן אני נמצא עכשיו בארגון יותר גדול ממכם, גם כאן המצב דומה , זה כנראה ZERO DAY ATTACK"
-אנחנו צריכים לבא ולקחת ביופסיה ממחשב נגוע ולשלוח לחברת האנטי וירוס שיכתבו לזה חתימה."
מההה! ZERO DAY?

כך למדתי להכיר את וירוס הקונפיקר.

הגנה -מניעה

• התקנת הפאצ' של מיקרוסופט kb958644 המונע את וקטור ההתקפה המרכזי דרכו חודר הקונפיקר לתחנה. - להוריד ולהתקין בהקדם האפשר על כל השרתים והתחנות.

לבדיקה מידית של המצאות ה PATCH על תחנה הריצו:

systeminfo find"KB958644" a

להורדת ה PATCH:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

• ביטול AUTORUN לכל סוגיו בתחנות ובשרתים = עצירת וקטור ההתקפה השני של הוירוס ( הדבקה דרך התקני USB ומדיות נשלפות אחרות).

העתק\הדבק את השורות הבאות לקובץ בסיומת REG. והרץ:

REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"

כמובן לא לשכוח לעדכן GPO :)

• 
  
  
  ביטול שיתופים אדמיניסטרטיביים ככל הניתן ומעבר על שיתופים ברשת תוך צימצום ההרשאות בכל שיתוף. -וקטור ההדבקה השלישי של הקונפיקר הוא באמצעות גישה לשיתופים בכלל ובפרט ל admin$ ,לצערי סעיף זה קשה לביצוע בשל שימוש אפליקטיבי בשיתופים הנ"ל אך ניתן לצמצם את ההרשאות לשיתופים כחלק מפעילות שוטפת של אבטחת מידע. במקרי קיצון של הדבקה מאסיבית ,ניתן להפעיל זמנית פונקציה הקיימת ברוב האנטי וירוסים - make all shares read only (ע"ע מקאפי).



• 
  
  
  הגבלה או מניעת הרשאות לספרית TASKS של windows - וריאנטים מסוימים של הוירוס יוצרים JOB -משימה המפעילה את מנגנון ההדבקה ,סגירת ההרשאות לספריה זו תמנע זאת.



• 
  
  
  יש לדאוג לAV מעודכן בחתימות ובמנוע האחרון ,יש לסרוק את הרשת הארגונית באמצעים נוספים למציאת תחנות ושרתים "סוררים" ללא AV או AV ב DISABLE ו\או מגון תקלות אחרוות.

גילוי:

• הקונפיקר משתמש במנגנון סריקה והדבקה די רעשניים אשר ניתן לזיהוי בקלות ע"י IPS או HIPS ,עומס ברשת יורגש בעיקר בפורטים 445 ו 139 וכן גישת מחשבים ושרתים לאינטרנט.



• GMER - כלי לבדיקת ROOTKITS והזרקת DLL לservices לגיטימיים של וינדוס - הקונפיקר מזריק את עצמו (DLL) ל svchost ,הכלי מזהה ומציג ( באדום) את השירות הנגוע ואת שם ה DLL הרלונטי , הוא מאפשר גם הסרה של ה DLL אך מנסיון הפעולה גוררת ברוב המקרים מסך כחול.



• tasklist /svc ----חיפוש פרוססים הרצים תחת scvhost וזיהוי פרוססמים בשמות מוזרים או לא מוכרים

svchost.exe 1068 AudioSrv, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, helpsvc, HidServ, lanmanserver,lanmanworkstation, Netman, Nla, RasMan,Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv,Themes, TrkWks, W32Time, winmgmt, wscsvc,ddfr , wuauserv, WZCSVC

• 
  
  
  McAfee Conficker Detection Tool - כלי חינמי שיצא יחסית לאחרונה הסורק תחנות ורשתות למציאת מחשבים נגועים בקונפיקר , הכלי יודע לזהות (finger print) תחנות נגועות ללא צורך בהזדהות

הסרה :

במידה והAV מזהה ,גם אם האינדיקציה היא : removed או deleted , אני ממליץ לבצע REBOOT בכדי לאפשר ל AV להסיר שיירים בזיכרון.

שיהיה בהצלחה.