- Descubrimiento de red.
- Detección de versiones de servicios mejorada.
- Detección de vulnerabilidades.
- Detección de gusanos y backdoors.
- Explotación de vulnerabilidades.
Estos scripts nos permiten de una forma muy cómoda tanto prepararnos, para prevenir una posible intrusión como identificar si la hemos sufrido, y tenemos Malware, Backdoors o Troyanos en nuestros sistemas. Para aquellos que deseen más información o indagar en los aspectos técnicos de la herramienta, pueden consultar la página de NSE o leer el libro publicado por Fyodor, ya que esta entrada tiene un propósito introductorio.
A continuación veremos un par de ejemplos prácticos de detección.
Vulnerabilidad WebDAV
La vulnerabilidad en esta extensión del Internet Information Services (IIS) ha aparecido recientemente en los medios y organismos especializados. Haciendo uso de NSE, podremos verificar que nuestros servidores están seguros (antes de que lo haga un posible atacante) siguiendo los siguientes pasos:
1. Descargamos nmap versión 4.85 beta 9 o superior.
2. Descargarmos el script si no lo tenemos ya:
$ sudo wget http://nmap.org/svn/scripts/http-iis-webdav-vuln.nse
3. Lanzamos el script (nuestro servidor se llamará “pruebas”):
4.Si conocemos la ruta de un directorio y una contraseña de acceso podemos utilizar:
Si tras ejecutar el comando vemos esto:
Interesting ports on iis (192.168.1.1):
PORT STATE SERVICE
80/tcp open http
|_ http-iis-webdav-vuln: WebDAV is ENABLED. Vulnerable folders discovered: /secret, /webdav
443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds
significa que tenemos un problema. Para solventarlo podemos seguir las instrucciones dadas aquí.
Gusano Conficker
El script smb-check-vulns.nse, que pasamos a utilizar como segundo ejemplo de la utilización del NSE, comprueba si el RPC de un sistema Windows es vulnerable (descrita en el boletín MS08-067). Esta vulnerabilidad no sólo permite realizar un DoS a regsvc, sino que además es utilizada por Conficker para ejecutar código, lo que vamos a intentar prevenir detectando si es o no vulnerable. Al respecto, mucho ojo al utilizarlo porque podría tumbar el servicio en caso de ser vulnerable.
La presencia o no de esta vulnerabilidad la comprobaremos así:
$ sudo nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 pruebas
Si por el contrario, hemos sufrido una intrusión o sospechamos que podemos tener algunos sistemas infectados podemos utilizar el script p2p-conficker.nse, que examina las comunicaciones P2P y detecta en función de las mismas si la máquina está infectada con Conficker.C (o superior).
La opción –script-trace que como han visto utilizamos en este último caso es opcional, ya que sólo sirve para obtener más información. No obstante, aporta datos que nos pueden ser útiles y resulta muy interesante poder ver que es todo lo que hace.
|_ nbstat: NetBIOS name: PRUEBAS, NetBIOS user:
| smb-os-discovery: Windows Server 2003 R2 3790 Service Pack 2
| LAN Manager: Windows Server 2003 R2 5.2
| Name: TESTLAB\PRUEBAS
|_ System time: 2009-06-04 08:38:02 UTC
| p2p-conficker: Checking for Conficker.C or higher…
| | Check 1 (port 55475/tcp): CLEAN (Couldn’t connect)
| | Check 2 (port 13321/tcp): CLEAN (Couldn’t connect)
| | Check 3 (port 40191/udp): CLEAN (Failed to receive data)
| | Check 4 (port 56590/udp): CLEAN (Failed to receive data)
|_ |_ 0/4 checks: Host is CLEAN or ports are blocked
Nmap done: 1 IP address (1 host up) scanned in 15.35 seconds
Si obtenemos la salida anterior podemos estar tranquilos, si no es así, significará que tenemos al bicho en casa :)
PAra acabar, creo que merece la pena prestar especial atención a la evolución de esta funcionalidad del Nmap y a los nuevos scripts que vayan siendo liberados. Les aseguro que yo pienso hacerlo.
Fuente: www.securityartwork.es
No hay comentarios:
Publicar un comentario