sekure/uground industries - security bulletim ....................................................... www.sekure.org -> sekure.06-98.netbus <- (last update: 16-09-1998) 1. Descricao '`'`'`'`'`'` Semelhante ao Back Orifice, o NetBus e' uma ferramenta que pode ser utilizada como um sistema de administracao remota para os ambientes operacionais Windows95, Windows98 e WindowsNT. E' composto por um programa que atua como Servidor e um programa que atua como Cliente, permitindo conexoes remotas, mesmo atraves da Internet, utilizando-se do protocolo de comunicacao TCP/IP. Por suas inumeras caracteristicas e facilidades, o NetBus passou a ser utilizado principalmente por hackers que pretendem manter controle sobre os computadores de suas vitimas, sem serem detectados ou notados. 2. Comprometimento '`'`'`'`'`'`'`'`'` O Servidor NetBus e' auto-instalavel, ou seja: na primeira execucao a maquina passara a ser comprometida. O NetBus permite um amplo controle sobre o Servidor, apresentando inumeras caracteristicas das quais se destacam: - - auto instalavel - - auto executavel (com o boot do Windows) - - permite iniciar/executar qualquer aplicativo - - permite fechar/terminar qualquer aplicativo - - Permite rebootar o servidor - - Pode desconectar usuarios - - Permite enviar caracteres para aplicativos ativos - - Permite capturar o que esta sendo digitado no computador servidor - - Permite capturar a tela (screenshot) do computador servidor - - Retorna informacoes gerais sobre o computador - - Permite realizar upload de arquivos para o servidor - - Permite realizar download e exclusoes de qualquer arquivo do servidor - - Permite capturar o som de microfones instalados no servidor - - Nao aparece na Task List do Windows Alem disso, o NetBus faz uso de senhas para permitir o controle de acessos ao Servidor. A cada conexao, o Cliente envia ao Servidor uma string que pode conter a senha utilizada para validacao. Essa string inicial de conexao possui um formato semelhante ao abaixo: Password;0;my_password No entanto, o X-Force detectou a presenca de um backdoor no NetBus que permite a qualquer Cliente estabelecer conexao com o Servidor sem a necessidade de se fornecer a senha correta. O Cliente pode conectar-se sem autenticacao bastando substituir o valor do segundo parametro da string inicial de conexao de "0" para "1", conforme a linha abaixo: Password;1;my_password Visto que o NetBus faz uso de portas fixas e pre-estabelecidas (12345 e 12346), um hacker poderia perfeitamente scanear as portas de diversos hosts conectados a Internet em busca de todos aqueles que respondessem a um pedido de conexao. A partir disso bastaria substituir o procedimento de autenticacao, seguindo a regra acima, para se obter acesso ao Servidor, ampliando dessa forma o espectro de comprometimento. O risco se amplia ainda mais, se levarmos em conta a existencia e distribuicao de programas aparentemente inofensivos, mas que atuam como trojans do NetBus. Um exemplo, recentemente divulgado na lista de discussao Bugtraq, e' o arquivo "whackamole.exe" (creditado a ecoli_@hotmail.com), que esta sendo distribuido pela Internet como um inofensivo jogo, mas que na verdade faz a instalacao do NetBus. 3. Deteccao '`'`'`'`'`' Por default, o Servidor NetBus chama-se Patche.exe. No entanto pode perfeitamente ser renomeado para qualquer outro nome, e como ja mencionado pode vir mascarado como um "inofensivo programa". O NetBus utiliza TCP para estabelecer o envio/recebimento de pacotes e dados, permanecendo ativo nas portas 12345 e 12346 aguardando por conexoes de Clientes. Como primeiro passo, e' possivel verificar se essas portas estao em uso por algum servico. Para tanto utiliza-se o comando 'netstat' conforme exemplo abaixo: c:\>netstat -an | find "1234" TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING Em seguida, e' possivel identificar que servico esta ativo na porta apresentada pelo netstat. Para tanto utiliza-se o comando telnet: c:\>telnet 127.0.0.1 12345 Se o NetBus estiver instalado e aguardando por conexoes nesta porta, a sequencia abaixo ira aparecer na janela do telnet: 'NetBus 1.53' Ou: 'NetBus 1.60' Alem desse procedimento, e' possivel examinar o registry do Windows a procura de algumas chaves que sao criadas pelo trojan quando de sua instalacao. Execute o 'regedit' e faca uma busca pelas chaves: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[Nome do NetBus] HKEY_CURRENT_USER\Patch\Settings\ServerPwd A primeira chave indica que o NetBus esta configurado para ser inicializado automaticamente a cada boot do sistema. Ja a segunda chave indica qual a senha (em formato texto puro) que esta sendo utilizada para validar conexoes. 4. Removendo o NetBus '`'`'`'`'`'`'`'`'`'`' O procedimento mais simples seria filtrar e impedir conexoes as portas utilizadas pela NetBus atraves de regras especificas de bloqueio de pacotes/firewalling. No entanto, para uma efetiva eliminacao, faz-se necessario seguir outro caminho. A X-Force indica dois procedimentos basicos e simples para remocao do NetBus: 1) fazer uso de uma opcao do Servidor NetBus que automaticamente deleta o executavel, conforme exemplo abaixo: c:\>nome_do_netbus_server.exe /remove 2) utilizar o Cliente do NetBus para fazer essa remocao. Basta conectar-se ao Servidor (podendo ser localhost), selecionar "Server admin" e em seguida "Remove server". No entanto, notamos que em alguns casos as duas opcoes falharam ao limpar o registry do Windows. Logo, indicamos que uma ultima verificacao seja realizada no registry em busca das chaves criadas pelo NetBus, que podem ser excluidas sem nenhum prejuizo ao funcionamento do Windows. 5. Contatos '`'`'`'`'`' Uground Industries Security Bulletim uma publicacao da sekure/uground industries (tm) http://www.sekure.org - contatos: security@sekure.org Procure pelos advisories da sekure/uground industries em http://www.sekure.org/advisories.html Assine a lista Best Of Security Brasil - http://www.sekure.org/bos Mande mensagem pra bos-br-request@sekure.org Ponha "subscribe bos-br" no corpo da mensagem. - ---- sekure.06-98.netbus security advisorie by paranoia (paranoia@sekure.org) sekure/uground industries (tm) - 1998