Técnicas de escaneo masivo - 11/2013

1. Técnicas de escaneo masivo y estadísticas de vulnerabilidades Pedro Joaquín Hernández pjoaquin@websec.mx hkm

2. Contenido • Introducción al escaneo masivo • Herramientas: Nmap, Dnmap, Zmap, Masscan • Escaneo con Botnet de ruteadores • Escaneos diarios de todo Internet por un año • Estadísticas de dispositivos de México • Puertas traseras de dispositivos populares de México

3. Introducción al escaneo masivo • Nmap es la herramienta que todos siguen utilizando. • Dnmap te permite realizar escaneos distribuidos. • Zmap te permite escanear todo el rango ipv4 en una hora. • Masscan requiere hardware adicional, escanea todo Internet en 3 m.

4. Dnmap escaneando desde 10 servidores Websec

5. Zmap - http://zmap.io • Creado por la Universidad de Michigan • Puede escanear un puerto de todo IPv4 en 45 minutos • Sigue activo su desarrollo en github • Un solo paquete SYN por host a max 1.4 M por segundo :O

6. Zmap vs Nmap Tipo de escaneo Cobertura normalizada Duración Tiempo estimado por todo Internet Nmap (default) 0.978 45:03 116.3 días Nmap (1 probe) 0.814 24:12 62 días ZMap, 2 probes 1.000 00:11 2:12:35 ZMap, (default) 0.987 00:10 1:09:45 Tipo de escaneo Parámetros utilizados Nmap (default) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000 Nmap (1 probe) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000 –max-retries 0 ZMap, 2 probes zmap –P 2 –p 443 ZMap, (default) zmap –p 443

7. Recolección de información Zmap • Muy buena información en el reporte https://zmap.io/paper.pdf • Más de 200 escaneos de todo Internet • Publicaron algunas estadísticas…

8. Estadísticas de adopción de SSL - Zmap • Obtuvieron 43 Millones de certificados • Compararon los sitios que recientemente adquirieron SSL • Observaron un crecimiento del 19.6% a lo largo de un año

9. Estadísticas de dispositivos vulnerables UPnP – Rapid7 (17/11/12) 2.2% de Internet es UPnP 81 Millones de direcciones IP 20% de 81 M tienen SOAP API 23 Millones tienen libupnp vulnerable Un solo paquete UDP es lo que se requiere para comprometerlos.

10. Estadísticas de dispositivos vulnerables UPnP – ZMap (11/02/13) 15.7 millones de direcciones IP accesibles remotamente UPnP 16.5% de 15.7 M 2.56 millones tienen Intel UPnP vulnerable +817,000 tienen MiniUPnP vulnerable Un par de horas es lo que se requiere para comprometer todos los +3.4 millones de hosts

11. Pero también sirve para cosas buenas 

12. Estadísticas de disponibilidad durante huracán Sandy – Zmap • Escaneo cada 2 horas de todo IPv4 durante el huracán. • En la costa este de EEUU se notó un decremento del 30% de puertos abiertos.

13. MASSCAN – Todo Internet en 3 minutos • Según ellos puede escanear todo IPv4 en 3 minutos • https://github.com/robertdavidgraham/masscan • Para sobrepasar los 2 M de paquetes por segundo requiere una tarjeta Ethernet Intel 10-gbps y el driver “PF_RING DNA” • Velocidad máxima de 25 Millones de paquetes por segundo • Encrypted monotonically increasing index masscan 0.0.0.0/0 -p443 --rate 25000000

14. Estadísticas de SNMP – Errata Security • Protocolo de administración de dispositivos • Robert Graham en octubre 2013 • GET sysName y sysDescr masscan 0.0.0.0/0 -pU:161 --banners

15. Estadísticas de SNMP – Errata Security Cantidad SysName 288176 CableHome 145375 TD5130 123819 Unknown 119946 Broadcom 108174 CHT 79667 unnamed 48492 Innacomm 36876 KWS-1040G 28779 DSL-2640B 27768 P-660R-T1 27447 router 25229 WA3002G4 24178 ADSL 22738 ADSL 20528 Speedy 19828 Telefonica 18884 D-Link 18384 nobrand 17136 DSL-2500U 15755 Beetel 13175 Sprint 12374 Siemens 12032 RTL867x 11782 DNA-A211-I 10971 unknown 9738 USR9111 Cantidad SysDescr 189979P-660HW-D1 132290Software Version 3.10L.01 122354Linux WNR1000v2 2.6.15 79667ucd-snmp-4.1.2/eCos 74816P874S5AP_20120106W 74654Linux ADSL2PlusRouter 2.6.19 74435Technicolor CableHome Gateway 73785CBW700N 65439System Description 55851Thomson CableHome Gateway 52248Wireless ADSL Gateway 41910Hardware 39351Linux ADSL2PlusRouter 2.6.19 38372Ubee PacketCable 1.5 W-EMTA 31197Netopia 3347-02 v7.8.1r2 30728P-660HW-T1 v2 28390Apple Base Station V3.84 Compatible 28311GE_1.07 27017ZXV10 W300

16. Internet Census 2012 – Carna Botnet • Botnet “no maligna” utilizada para escanear todo Internet • Utilizó 420,000 dispositivos para escanear 730 puertos • Velocidad de hasta 4.2 millones de IPs por segundo • El reporte es enorme con más de 9 TB de datos • Utilizando Nmap NSE fue que descubrieron dispositivos vulnerables

17. 420 Millones respondieron al Ping

18. 165 millones Tienen puertos comunes abiertos

19. Dominios – Carna Botnet Cantidad Dominio TLD 61327865 ne jp 34434270 bbtec net 30352347 comcast net .jp 27949325 myvzw com 28059515 .it 24919353 rr com 28026059 .br 22117491 sbcglobal net 21415524 .de 18639539 telecomitalia it 17480504 verizon net 20552228 .cn 16467453 com br 17450093 .fr 16378853 ge com 17363363 .au 15743176 spcsdns net 15081211 com cn 17296801 .ru 14023982 t-dialin net 16,910,153 .mx 13,421,570 com mx Cantidad TLD 374670873 .net 199029228 .com 75612578

20. SubDominios – Carna Botnet Cantidad Subdominio Dominio TLD 16492585 res rr com 16378226 static ge com 15550342 pools spcsdns net 14902477 163data com cn 14023979 dip t-dialin net 12268872 abo wanadoo fr 11685789 business telecomitalia it 11492183 ocn ne jp 10,192,958 prod-infinitum com mx

21. SubDominios .mx – Carna Botnet Cantidad SubSubDominio Dominio TLD prod-infinitum 10,192,958 Subdominio com mx 577,483 dyn cableonline com mx 208,147 static avantel net mx 157,059 static metrored net mx

22. Internet Wide Scan Data Repository https://scans.io/ : • University of Michigan · HTTPS Ecosystem Scans • University of Michigan · Hurricane Sandy ZMap Scans • Rapid7 · Critical.IO Service Fingerprints • Rapid7 · SSL Certificates • Rapid7 · Reverse DNS

23. Critical.IO Service Fingerprints – Rapid7 • El proyecto critical.io descubría vulnerabilidades en todo IPv4 • Fue llevado a cabo de mayo 2012 a marzo 2013 • Se puede encontrar la información diaria en https://scans.io/study/sonar.cio

24. Escaneo masivo realizado por Websec Paulino Calderón de Websec HTTP Banners & DNS Open Resolver

25. Identificando dispositivos HTTP • Cabeceras HTTP: WWW-Authenticate: Basic realm=Portal de Inicio Content-Type: text/html
Transfer-Encoding: chunked
Server: RomPager/4.07 UPnP/1.0
Connection: close
• Puerto 50001 para identificar 2Wire.

26. Legal • Se realizó una petición web tal como la realizaría un navegador común. • No es intrusivo. • No guardamos las direcciones IP. • https://community.rapid7.com/community/infosec/sonar/blog/2013/ 10/30/legal-considerations-for-widespread-scanning • https://zmap.io/documentation.html#bestpractices

27. Recolectando datos • Recolectamos 2,928,361 cabeceras HTTP o “banners” de web servers corriendo en puerto 80 y 443. • Base de datos de IPs de México pública con más de 26 millones de registros. Puede ser descargada de http://software77.net/geo-ip/

28. Utilizando Dnmap para escanear México • Nmap (http://nmap.org) • Dnmap (http://dnmap.sourceforge.net) • http-headers (http://nmap.org/nsedoc/scripts/http-headers.html)

29. Resultados • Web servers encontrados: 2,928,361 • Tres dispositivos dominan: • Huawei: • 2Wire: • Thomson: 1,720,910 422,685 321,467

30. 16% Huawei: 1,720,910 14% Thomson: 321,467 2WIRE: 422,685 59% 11% Otros: 463,299

31. PFSENSE 1% Draytek routers 1% SonicWALL 2% Otros 43% Cisco Routers SonicWALL Draytek router Apache 16% Cisco Routers 14% Apache IIS Coyote Aastra IP phon Hikvision uc-httpd Otros Aastra IP phone 2% Hikvision 6% uc-httpd 1% PFSENSE IIS 13% Coyote 1%

32. 16% No sabemos VULNERABLES 84%

33. Utilizando Zmap para escanear México • 26 millones de direcciones IP (México) escaneado en 10 minutos • IPv4 puerto 53 TCP escaneado en 2 horas • Se utilizó un servidor con conexión de 1Gbps

34. Estadísticas de DNS vulnerables - Websec • Vulnerabildad: DNS Open Resolver • Paulino modificó el script NSE dns-recursion.nse • Se han detectado ~ 130,000 servidores vulnerables • Análisis en curso…

35. Puertas traseras remotas en dispositivos populares de México Huawei, Alcatel-Lucent, TP-Link, Technicolor

36. Que es una Puerta Trasera? • Método de acceso que puede ser utilizado para evadir políticas de seguridad. (Microsoft) • Método de acceso no documentado. • Comúnmente olvidado por los desarrolladores. • Frecuentemente es implementada a propósito y ocultada por los fabricantes. Administración expuesta a Internet Funciones / Interfaces redundantes Parámetros ocultos Cuentas comunes Configuración expuesta

37. Huawei Remote Shell via /rom-0 Contraseña en archivo de configuración, Habilitar interfaz de administración telnet, Acceso remoto, Borrado de logs.

38. • ZynOS tiene una vulnerabilidad conocida que consiste en poder descargar la configuración sin autenticación. • La configuración se encuentra localizada en la interfaz web en /rom-0 • El archivo rom-0 es un archivo binario comprimido en formato LZW. • Es posible extraer información como clave de administrador, WEP default, versiones, etc.

39. Puerta trasera y ejecución de comandos en Alcatel-Lucent Encontrada por Pedro Joaquín de Websec Cuenta por defecto: telecomadmin:nE7jA%5m Ejecución de comandos desde interfaz web, Router botnet c/IRC C&C

40. Puerta trasera Alcatel-Lucent - Websec • Ejecución de comandos en interfaz web (ping). • Contenido del archivo de usuarios web: 11/24/2013 http://www.websec.mx 43

41. Puerta trasera y ejecución de comandos en TP-Link Descubierta por Paulino Calderón de Websec Cuenta por defecto: osteam:5up URL escondido: /userRpmNatDebugRpm26525557/linux_cmdline.html

42. TP-Link Backdoor - Websec • El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web oculta para depuración que podría servir de puerta trasera a atacantes localizada en/userRpmNatDebugRpm26525557/linux_cmdline.html • El nombre de usuario de esta consola esta guardado estáticamente en el binario del servidor HTTP y la contraseña no puede ser cambiada desde la interfaz web, por lo que siempre es valida la siguiente cuenta: Usuario: osteam Contraseña: 5up • La criticidad de esta vulnerabilidad es alta debido a que a través de esta consola se pueden ejecutar comandos en el sistema con privilegios root como agregar reglas de redirección de trafico y modificar archivos de configuración

43. Video • http://youtu.be/nSnXx4uY_1w

44. Puerta trasera en Technicolor TG 582n superman:superman

45. Puerta trasera en Technicolor TG 582n

46. Lista de puertas traseras comunes de México Marca Modelo Puerta trasera Acceso remoto Parche del ISP 11/17/2013 Detección por DPT Huawei HG5xxx Archivo de configuración con contraseña Si Si Si Technicolor TG582n Cuenta de administración oculta Si No Si Alcatel-Lucent I-240-W Cuenta de administración oculta Si No Si TP-Link WDR740 URL de administración oculta No No Si Varias Varios Cuentas comunes de administración Si

47. Detector de Puertas Traseras D.P.T. v2.0

48. Detector de Puertas Traseras v2.0 - Websec

49. Video • http://youtu.be/rdX45_rl3-4

50. Técnicas de escaneo masivo y estadísticas de vulnerabilidades Pedro Joaquín Hernández pjoaquin@websec.mx @_hkm www.hakim.ws www.underground.org.mx

51. Referencias • https://zmap.io/paper.pdf • http://community.rapid7.com/servlet/JiveServlet/download/2150-116596/SecurityFlawsUPnP.pdf • http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html • http://internetcensus2012.bitbucket.org • https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welc ome-to-project-sonar • https://www.owasp.org/images/a/ae/OWASP_10_Most_Common_Backdoors.pdf • http://www.hakim.ws/2012/12/puerta-trasera-en-fibra-optica-alcatel-lucent-deinfinitum/ • http://www.hakim.ws/2013/01/puerta-trasera-en-technicolor-tg582n/ • http://www.websec.mx/advisories/view/puerta-trasera-tplink-wdr740

Técnicas de escaneo masivo - 11/2013

Estás leyendo una previsualización.

Eche un vistazo a continuación

Técnicas de escaneo masivo - 11/2013

Más Contenido Relacionado

Presentaciones para usted (20)

A los espectadores también les gustó (20)

Similares a Técnicas de escaneo masivo - 11/2013 (20)

Más de Websec México, S.C. (19)

Más reciente (20)