image

Conficker worm nachtmerrie voor helpdesk

donderdag 19 februari 2009, 14:24 door Redactie, 10 reacties

De uitbraak van de Conficker worm wacht nog altijd op de climax, voor systeembeheerders en helpdesks kan een besmet netwerk nu al een ware nachtmerrie zijn. Conficker verspreidt zich niet alleen via het Server Service lek in Windows en USB-sticks, maar ook via gedeelde netwerkmappen. De worm probeert andere computers via de administrative network share (ADMIN$), die standaard op Windows machines aanwezig is, te infecteren. Eerst indexeert de worm alle zichtbare Windows machines op het netwerk, dan pas maakt het verbinding.

Daarvoor gebruikt Conficker als eerste de inloggegevens van de besmet machine. Als dit niet werkt, gebruikt het een lijst van verschillende gebruikersnamen en wachtwoorden, maar probeert het ook een combinatie van gebruikersnamen. De opzet lijkt briljant, er is echter een groot nadeel waardoor Conficker zich buitenspel zet. Het alsmaar raden van wachtwoorden zorgt ervoor dat het account gelockt wordt en de gebruiker niet meer kan inloggen.

De worm kan echter alle bestaande gebruikersnamen opsommen en proberen, waardoor alle gebruikers binnen de organisatie met een niet werkend account kunnen achterblijven, ook al is maar één machine besmet. Als Conficker alle servers, gebruikersnamen en wachtwoorden heeft geprobeerd, wacht het 40 minuten voordat die weer opnieuw begint. "Dit heeft als mogelijk gevolg dat de accounts weer gelockt worden, wat weer tot meer helpdesktelefoontjes leidt", zegt Eric Chien van Symantec.

Reacties (10)
19-02-2009, 15:54 door Anoniem
Kan iemand mij vertelen hoe je administrative network share kan uitschakelen in je bestuuringsysteem.
Ik heb wel iets gelezen er over op internet maar het is onduidelijk hoe ik de network share (ADMIN$)
moet uit schakelen in " computer Managament"! Kan iemand vertelen hoe ik deze regel ADMIN$ kan
verwijderen in het register! Dat is veel makelijker dan met werken met troep van Microsoft Computer Managament!
19-02-2009, 16:28 door Anoniem
Dit is dus precies de reden waarom we hier op mijn werk alle windows werkplekken hebben dichtgezet met een custom ipsec policy waardoor ze elkaar niet meer kunnen zien, pingen of wat dan ook.
Natuurlijk kunnen ze nog wel servers benaderen e.d.
Voor de beheerders neem je gewoon 1 a 2 servers met Terminal services erop om vanuit daar werkplekken te kunnen benaderen, configureren, managen e.d.
Uiteraard mogen alleen beheerders middels een beheer account daarop inloggen.
Bij voorkeur dit weer alleen vanaf een heel klein select groepje "normale" werkplekken waarop deze beheerder weer inlogt met een "normaal" dummy user account.
(Hint: gebruik nooit meer rechten dan je echt nodig hebt)


beveiliging vraagt kennis
kennis vraag onderhoud
ouderhoud kost tijd en geld
tijd en/of geld is er niet (volgens je baas)
ga dus maar naar huis
:-)
19-02-2009, 18:38 door Damiaen


beveiliging vraagt kennis
kennis vraag onderhoud
ouderhoud kost tijd en geld
tijd en/of geld is er niet (volgens je baas)
ga dus maar naar huis
:-)
[/quote]
Het rijmt voor geen meter.
En de infectie via de Autorun functie?
Via shares of cd's of externe hdd's of usb sticks?
19-02-2009, 19:39 door prikkebeen
Nou, lekker lullig allemaal.
Het zal je, als bankier zijnde, maar overkomen dat je account gelocked is op het moment dat je even je bonus wilt berekenen.
19-02-2009, 20:00 door Anoniem
Door AnoniemKan iemand mij vertelen hoe je administrative network share kan uitschakelen in je bestuuringsysteem.
Ik heb wel iets gelezen er over op internet maar het is onduidelijk hoe ik de network share (ADMIN$)
moet uit schakelen in " computer Managament"! Kan iemand vertelen hoe ik deze regel ADMIN$ kan
verwijderen in het register! Dat is veel makelijker dan met werken met troep van Microsoft Computer Managament!
typ dit in CMD : Net share admin$ /d
19-02-2009, 21:52 door Ilja. _V V
Vandaag,15:54 door AnoniemKan iemand mij vertelen hoe je administrative network share kan uitschakelen in je bestuuringsysteem....hoe ik deze regel ADMIN$ kan verwijderen in het register!...makelijker dan met werken met troep van Microsoft Computer Managament!
Met zoveel spelfouten in zo'n kort stukje ga ik je niet vertellen hoe je dat in het register kan veranderen, laat staan verwijderen. ;-)
Op server-achtigen kan je via de MMC (Microsoft Management Console) kan je de share stoppen via Shares, Action. Het is echter niet aan te raden omdat het ten koste gaat van een heleboel functionaliteit. Via de commandoregel net share kunnen shares verwijderd worden.
Nogmaals, het is niet nodig als je alle updates hebt & alle systemen onder LUA volgens Best Practices gebruikt worden, [url=http://support.microsoft.com/kb/953252]zie hier voor meer info & kies de juiste update voor het betreffende besturingssysteem[/url]. Voor pre-2000-systemen is er de US-CERT oplossing, & alle info is [url=http://www.security.nl/artikel/26877/1/Conficker_gevaarlijkste_worm_afgelopen_jaren.html]hier in het Conficker-dossier[/url] & [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]hier in de column door Bitwiper[/url]
20-02-2009, 08:23 door Bitwiper
Door AnoniemKan iemand mij vertelen hoe je administrative network share kan uitschakelen in je bestuuringsysteem.
Wel eens van [url=http://www.google.com/search?q=disable+administrative+shares]Google[/url] gehoord? Bij mij bevat de bovenste [url=http://www.petri.co.il/disable_administrative_shares.htm]link[/url] (page van Daniel Petri) al zeer zinvolle info, namelijk o.a. dat je welliswaar de meeste admin shares kunt disablen, maar niet IPC$.

Door Ilja. _\\//
Via de commandoregel net share kunnen shares verwijderd worden.
Nogmaals, het is niet nodig als je alle updates hebt & alle systemen onder LUA volgens Best Practices gebruikt worden, [url=http://support.microsoft.com/kb/953252]zie hier voor meer info & kies de juiste update voor het betreffende besturingssysteem[/url]. Voor pre-2000-systemen is er de US-CERT oplossing, & alle info is [url=http://www.security.nl/artikel/26877/1/Conficker_gevaarlijkste_worm_afgelopen_jaren.html]hier in het Conficker-dossier[/url] & [url=http://www.security.nl/artikel/26322/1/Microsoft_schuldig_aan_verspreiden_wormen_via_XP_netwerkshares.html]hier in de column door Bitwiper[/url]
Dank voor de verwijzing naar mijn bijdrage! Overigens kun je met net share wel administrative shares verwijderen, maar dan zijn ze er weer na de eerstvolgende reboot (zie ook de page van Daniel Petri).
20-02-2009, 13:01 door Anoniem
Dus niemand kan mij vertelen hoe je de administrative network share kan uitschakelen. Je kan ook gewoon zegen dat er geen modelijkheid bestaat wanneer je onder Adminstator aanmeld de funtcie altijd ingeschakeld blijft * ADMIM$!

Uitschakelen van ADMIM$! ga naar configuratie scherm, gebruiker account , een nieuw account maken, met geen beheer rechten, *** voor dat allen instellingen verloren gaan, doe je dit doen op eigen risico ****. P.S zorg dat systemrestore aanstaat voor als de operatie m$lukt!

Exporter deze sleutels. start register editior
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control (risco)!
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services (risco)!
HKEY_USERS

Importer deze in je nieuw account, Daarna moet je weer modificatie maken in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
Deze moet je aanpassen naar nieuw account naam; AltDefaultUserName ; DefaultUserName
20-02-2009, 20:44 door Bitwiper
Door AnoniemDus niemand kan mij vertelen hoe je de administrative network share kan uitschakelen. Je kan ook gewoon zegen dat er geen modelijkheid bestaat wanneer je onder Adminstator aanmeld de funtcie altijd ingeschakeld blijft * ADMIM$!

Uitschakelen van ADMIM$! ga naar configuratie scherm, gebruiker account , een nieuw account maken, met geen beheer rechten, *** voor dat allen instellingen verloren gaan, doe je dit doen op eigen risico ****. P.S zorg dat systemrestore aanstaat voor als de operatie m$lukt!

Exporter deze sleutels. start register editior
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control (risco)!
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services (risco)!
HKEY_USERS

Importer deze in je nieuw account, Daarna moet je weer modificatie maken in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
Deze moet je aanpassen naar nieuw account naam; AltDefaultUserName ; DefaultUserName
Jij hebt de klok horen luiden...

Het maakt niet uit of je als admin ingelogd bent, zelfs als er NIEMAND ingelogd is bestaan de administratieve shares.

Ook moet je van ControlSet001 e.d. afblijven, maar in plaats daarvan CurrentControlSet gebruiken (dat is een link naar de actueel in gebruik zijnde ControlSetnnn).

Om te voorkomen dat admin-accounts geshared worden heb ik direct boven jouw post naar een pagina met meer informatie verwezen, en gevraagd of je weet wat Google is. Kun je eigenlijk wel lezen?

Waarom je voor het aanmaken van een non-admin account de registry gaat exporteren en moet zorgen dat system restore aanstaat is me een raadsel, en hetzelfde geldt voor "Importer deze in je nieuw account" - wtf?

Overigens is er wel een andere eenvoudige geheimtip om te zorgen dat er geen admin shares bestaan: de server service uitschakelen (net stop server). Bijverschijnsel: de browser service werkt ook niet meer. Heerlijk, afsluiten is in enkele seconden gebeurd. Maar anderen toegang geven tot je printer of een map op je PC werkt natuurlijk niet meer (maar dat is lang niet altijd nodig, en niet zelden ongewenst uit security overwegingen). Let op: ook "net stop server" geldt tot de eerstvolgende reboot. Je kunt in de management console desgewenst die service permanent op disabled zetten. [url=http://www.blackviper.com/WinXP/Services/Server.htm]Hier[/url] staat meer info over het uitschakelen van de server service.

Je kunt natuurlijk ook een firewall installeren waarvan je zeker weet dat deze ingaand verkeer naar ten minste de poorten 135 t/m 139 en 445 (zowel TCP als UDP) blokkeert . Of een NAT-routertje tussen je PC en je netwerk gooien (en daarin zomogelijk uitgaand verkeer naar genoemde poorten blokkeren om te voorkomen dat er verbindingen vanuit jouw PC worden geïnitieerd).
21-05-2010, 18:34 door Anoniem
Maar als je niet meer kunt inloggen hoe ga je dan het probleem oplossen ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.