Técnicas de escaneo masivo - 11/2013
-
Upload
websec-mexico-sc -
Category
Technology
-
view
9.132 -
download
1
description
Transcript of Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo y estadísticas de vulnerabilidades
Pedro Joaquín Hernández
hkm
Contenido
• Introducción al escaneo masivo
• Herramientas: Nmap, Dnmap, Zmap, Masscan
• Escaneo con Botnet de ruteadores
• Escaneos diarios de todo Internet por un año
• Estadísticas de dispositivos de México
• Puertas traseras de dispositivos populares de México
Introducción al escaneo masivo
• Nmap es la herramienta que todos siguen utilizando.
• Dnmap te permite realizar escaneos distribuidos.
• Zmap te permite escanear todo el rango ipv4 en una hora.
• Masscan requiere hardware adicional, escanea todo Internet en 3 m.
Dnmap escaneando desde 10 servidores -Websec
Zmap - http://zmap.io
• Creado por la Universidad de Michigan
• Puede escanear un puerto de todo IPv4 en 45 minutos
• Sigue activo su desarrollo en github
• Un solo paquete SYN por host a max 1.4 M por segundo :O
Zmap vs Nmap
Tipo de escaneo Cobertura normalizada Duración Tiempo estimado por todo Internet
Nmap (default) 0.978 45:03 116.3 días
Nmap (1 probe) 0.814 24:12 62 días
ZMap, 2 probes 1.000 00:11 2:12:35
ZMap, (default) 0.987 00:10 1:09:45
Tipo de escaneo Parámetros utilizados
Nmap (default) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000
Nmap (1 probe) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000 –max-retries 0
ZMap, 2 probes zmap –P 2 –p 443
ZMap, (default) zmap –p 443
Recolección de información Zmap
• Muy buena información en el reporte https://zmap.io/paper.pdf
• Más de 200 escaneos de todo Internet
• Publicaron algunas estadísticas…
Estadísticas de adopción de SSL - Zmap
• Obtuvieron 43 Millones de certificados
• Compararon los sitios que recientemente adquirieron SSL
• Observaron un crecimiento del
19.6% a lo largo de un año
Estadísticas de dispositivos vulnerables UPnP– Rapid7 (17/11/12)
2.2% de Internet es UPnP
81 Millones de direcciones IP
20% de 81 M tienen SOAP API
23 Millones tienen libupnp vulnerable
Un solo paquete UDP es lo que se requiere para comprometerlos.
Estadísticas de dispositivos vulnerables UPnP– ZMap (11/02/13)
15.7 millones de direcciones IP accesibles remotamente UPnP
16.5% de 15.7 M
2.56 millones tienen Intel UPnP vulnerable
+817,000 tienen MiniUPnP vulnerable
Un par de horas es lo que se requiere para comprometer todos los
+3.4 millones de hosts
Pero también sirve para cosas buenas
Estadísticas de disponibilidad durante huracán Sandy – Zmap• Escaneo cada 2 horas de todo
IPv4 durante el huracán.
• En la costa este de EEUU se notó un decremento del 30% de puertos abiertos.
MASSCAN – Todo Internet en 3 minutos
• Según ellos puede escanear todo IPv4 en 3 minutos• https://github.com/robertdavidgraham/masscan
• Para sobrepasar los 2 M de paquetes por segundo requiere una tarjeta Ethernet Intel 10-gbps y el driver “PF_RING DNA”
• Velocidad máxima de 25 Millones de paquetes por segundo
• Encrypted monotonically increasing index
masscan 0.0.0.0/0 -p443 --rate 25000000
Estadísticas de SNMP – Errata Security
• Protocolo de administración de dispositivos
• Robert Graham en octubre 2013
• GET sysName y sysDescr
masscan 0.0.0.0/0 -pU:161 --banners
Estadísticas de SNMP – Errata SecurityCantidad SysName
288176 CableHome
145375 TD5130123819 Unknown
119946 Broadcom108174 CHT
79667 unnamed
48492 Innacomm36876 KWS-1040G
28779 DSL-2640B
27768 P-660R-T127447 router
25229 WA3002G424178 ADSL
22738 ADSL
20528 Speedy19828 Telefonica
18884 D-Link18384nobrand17136 DSL-2500U
15755 Beetel13175 Sprint
12374 Siemens
12032 RTL867x11782 DNA-A211-I
10971 unknown9738USR9111
Cantidad SysDescr
189979P-660HW-D1
132290Software Version 3.10L.01122354Linux WNR1000v2 2.6.15
79667ucd-snmp-4.1.2/eCos74816P874S5AP_20120106W
74654Linux ADSL2PlusRouter 2.6.19
74435Technicolor CableHome Gateway
73785CBW700N
65439System Description55851Thomson CableHome Gateway52248Wireless ADSL Gateway41910Hardware
39351Linux ADSL2PlusRouter 2.6.1938372Ubee PacketCable 1.5 W-EMTA
31197Netopia 3347-02 v7.8.1r230728P-660HW-T1 v228390Apple Base Station V3.84 Compatible28311GE_1.0727017ZXV10 W300
Internet Census 2012 – Carna Botnet
• Botnet “no maligna” utilizada para escanear todo Internet
• Utilizó 420,000 dispositivos para escanear 730 puertos
• Velocidad de hasta 4.2 millones de IPs por segundo
• El reporte es enorme con más de 9 TB de datos
• Utilizando Nmap NSE fue que descubrieron dispositivos vulnerables
420 Millones
respondieron
al Ping
165 millones
Tienen
puertos
comunes
abiertos
Dominios – Carna Botnet
Cantidad TLD
374670873 .net
199029228 .com
75612578 .jp
28059515 .it
28026059 .br
21415524 .de
20552228 .cn
17450093 .fr
17363363 .au
17296801 .ru
16,910,153 .mx
Cantidad Dominio TLD
61327865 ne jp
34434270 bbtec net
30352347 comcast net
27949325 myvzw com
24919353 rr com
22117491 sbcglobal net
18639539 telecomitalia it
17480504 verizon net
16467453 com br
16378853 ge com
15743176 spcsdns net
15081211 com cn
14023982 t-dialin net
13,421,570 com mx
SubDominios – Carna Botnet
Cantidad Subdominio Dominio TLD
16492585 res rr com
16378226 static ge com
15550342 pools spcsdns net
14902477 163data com cn
14023979 dip t-dialin net
12268872 abo wanadoo fr
11685789 business telecomitalia it
11492183 ocn ne jp
10,192,958 prod-infinitum com mx
SubDominios .mx – Carna Botnet
Cantidad SubSubDominio Subdominio Dominio TLD
10,192,958 prod-infinitum com mx
577,483 dyn cableonline com mx
208,147 static avantel net mx
157,059 static metrored net mx
Internet Wide Scan Data Repository
https://scans.io/ :
• University of Michigan · HTTPS Ecosystem Scans
• University of Michigan · Hurricane Sandy ZMap Scans
• Rapid7 · Critical.IO Service Fingerprints
• Rapid7 · SSL Certificates
• Rapid7 · Reverse DNS
Critical.IO Service Fingerprints – Rapid7
• El proyecto critical.io descubría vulnerabilidades en todo IPv4
• Fue llevado a cabo de mayo 2012 a marzo 2013
• Se puede encontrar la información diaria en https://scans.io/study/sonar.cio
Escaneo masivo realizado por WebsecPaulino Calderón de Websec
HTTP Banners & DNS Open Resolver
• Cabeceras HTTP:WWW-Authenticate: Basic realm=Portal de Inicio
Content-Type: text/html

Transfer-Encoding: chunked

Server: RomPager/4.07 UPnP/1.0

Connection: close

• Puerto 50001 para identificar 2Wire.
Identificando dispositivos HTTP
• Se realizó una petición web tal como la realizaría un navegador común.
• No es intrusivo.
• No guardamos las direcciones IP.
• https://community.rapid7.com/community/infosec/sonar/blog/2013/10/30/legal-considerations-for-widespread-scanning
• https://zmap.io/documentation.html#bestpractices
Legal
• Recolectamos 2,928,361 cabeceras HTTP o “banners” de web servers
corriendo en puerto 80 y 443.
• Base de datos de IPs de México pública con más de 26 millones de registros. Puede ser descargada de http://software77.net/geo-ip/
Recolectando datos
• Nmap (http://nmap.org)
• Dnmap (http://dnmap.sourceforge.net)
• http-headers (http://nmap.org/nsedoc/scripts/http-headers.html)
Utilizando Dnmap para escanear México
• Web servers encontrados: 2,928,361
• Tres dispositivos dominan:• Huawei: 1,720,910
• 2Wire: 422,685
• Thomson: 321,467
Resultados
59%
11%
14%
16%
Huawei: 1,720,910
Thomson: 321,467
2WIRE: 422,685
Otros: 463,299
Cisco Routers14%
SonicWALL2%
Draytek routers1%
Apache16%
IIS13%
Coyote1%
Aastra IP phone2%
Hikvision6%
uc-httpd1%
Otros43%
PFSENSE1%
Cisco Routers
SonicWALL
Draytek routers
Apache
IIS
Coyote
Aastra IP phone
Hikvision
uc-httpd
Otros
PFSENSE
16%
84%
No sabemos
VULNERABLES
Utilizando Zmap para escanear México
•26 millones de direcciones IP (México)
escaneado en 10 minutos
• IPv4 puerto 53 TCP escaneado en 2 horas
• Se utilizó un servidor con conexión de 1Gbps
Estadísticas de DNS vulnerables - Websec
• Vulnerabildad: DNS Open Resolver
• Paulino modificó el script NSE dns-recursion.nse
• Se han detectado ~ 130,000 servidores vulnerables
• Análisis en curso…
Puertas traseras remotas en dispositivos populares
de MéxicoHuawei, Alcatel-Lucent, TP-Link, Technicolor
Que es una Puerta Trasera?
• Método de acceso que puede ser utilizado para evadir políticas de seguridad. (Microsoft)
• Método de acceso no documentado.
• Comúnmente olvidado por los desarrolladores.
• Frecuentemente es implementada a propósito y ocultada por los fabricantes.
Administración expuesta a Internet
Funciones / Interfaces redundantes
Parámetros ocultos
Cuentas comunes
Configuración expuesta
Huawei Remote Shell via /rom-0Contraseña en archivo de configuración,
Habilitar interfaz de administración telnet,
Acceso remoto,
Borrado de logs.
• ZynOS tiene una vulnerabilidad conocida que consiste en poder descargar la configuración sin autenticación.
• La configuración se encuentra localizada en la interfaz web en /rom-0
• El archivo rom-0 es un archivo binario comprimido en formato LZW.
• Es posible extraer información como clave de administrador, WEP default, versiones, etc.
Puerta trasera y ejecución de comandos en Alcatel-LucentEncontrada por Pedro Joaquín de Websec
Cuenta por defecto: telecomadmin:nE7jA%5m
Ejecución de comandos desde interfaz web,
Router botnet c/IRC C&C
Puerta trasera Alcatel-Lucent - Websec
• Ejecución de comandos en interfaz web (ping).
• Contenido del archivo de usuarios web:
11/24/2013 http://www.websec.mx 43
Puerta trasera y ejecución de comandos en TP-LinkDescubierta por Paulino Calderón de Websec
Cuenta por defecto: osteam:5up
URL escondido: /userRpmNatDebugRpm26525557/linux_cmdline.html
TP-Link Backdoor - Websec
• El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web oculta para depuración que podría servir de puerta trasera a atacantes localizada en/userRpmNatDebugRpm26525557/linux_cmdline.html
• El nombre de usuario de esta consola esta guardado estáticamente en el binario del servidor HTTP y la contraseña no puede ser cambiada desde la interfaz web, por lo que siempre es valida la siguiente cuenta:Usuario: osteam Contraseña: 5up
• La criticidad de esta vulnerabilidad es alta debido a que a través de esta consola se pueden ejecutar comandos en el sistema con privilegios rootcomo agregar reglas de redirección de trafico y modificar archivos de configuración
Puerta trasera en Technicolor TG 582nsuperman:superman
Puerta trasera en Technicolor TG 582n
Lista de puertas traseras comunes de México
Marca Modelo Puerta trasera Acceso remoto
Parche del ISP11/17/2013
Detecciónpor DPT
Huawei HG5xxx Archivo de configuración con contraseña Si Si Si
Technicolor TG582n Cuenta de administración oculta Si No Si
Alcatel-Lucent I-240-W Cuenta de administración oculta Si No Si
TP-Link WDR740 URL de administración oculta No No Si
Varias Varios Cuentas comunes de administración Si
Detector de Puertas TraserasD.P.T. v2.0
Detector de Puertas Traseras v2.0 - Websec
Técnicas de escaneo masivo y estadísticas de vulnerabilidades
Pedro Joaquín Hernández
@_hkm
www.hakim.ws
www.underground.org.mx
Referencias
• https://zmap.io/paper.pdf
• http://community.rapid7.com/servlet/JiveServlet/download/2150-1-16596/SecurityFlawsUPnP.pdf
• http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html
• http://internetcensus2012.bitbucket.org
• https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welcome-to-project-sonar
• https://www.owasp.org/images/a/ae/OWASP_10_Most_Common_Backdoors.pdf
• http://www.hakim.ws/2012/12/puerta-trasera-en-fibra-optica-alcatel-lucent-de-infinitum/
• http://www.hakim.ws/2013/01/puerta-trasera-en-technicolor-tg582n/
• http://www.websec.mx/advisories/view/puerta-trasera-tplink-wdr740