DeNunCianDo - Downadup ejecutará su algoritmo de generación de dominios (DGA).

Preparados para el primero de Abril?

Bienvenido al nivel III.! Debemos reforzar nuestras medidas de seguridad en lo que queda de Marzo, ya que para el primero de abril se espera un ataque o actividad fuerte relacionada con Downadup en su variante C.

De acuerdo con el excelente documento de análisis en profundidad que publicó SRI International, el primero de Abril este gusano ejecutará su algoritmo de generación de dominios (DGA). Leyendo este documento se puede apreciar el grado de sofisticación de esta amenaza y se aprecia como gracias a sus capacidades de Peer-to-Peer puede constituir como una plataforma (bot-net) para el lanzamiento de spam, ataques o para alquiler como plataforma de computo distribuida para el cibe-rcrimen. Así como los fabricantes venden el poder de cómputo en la nube, los ciber-criminales están comprometiendo millones de máquinas para tener una gigante infraestructura que pueden despues alquilar a otros y así servir los propósitos de sus "clientes", que van desde el envío masivo de spam, ataques de denegación de servicio, ataques de diccionario, procesamiento de algoritmos de des-encripción etc.

Una descripción menos técnica fue publicada en el New York Timessobre lo que podría ser el escenario del primero de Abril. La comunidad de expertos en seguridad informática se han unido de manera informal en un grupo llamado conficker cabal, para tratar de detener el avance del gusano y los creadores del downadup han reaccionado actualizando su código y ahora este gusano es capaz de descargar actualizaciones ya no desde 250 sitios sino desde 50,000 dominios diferentes. Lo que naturalmente dificulta cerrarle el paso bloqueando dichos sitios. Esta amenaza ha infectado más de 11 millones de máquinas desde noviembre de 2008 y de acuerdo con el último censo de las compañias que monitorean los dominios generados por la amenaza, diariamente han contabilizado intentos de conexión de 3 millones de PCs accediendo dichos dominios para bajar actualizaciones de la amenaza. Hay según los expertos un grupo muy activo perfeccionando la amenaza y evadiendo las medidas de los fabricantes de Antivirus. El Downadup parcha en memoria los dll encargados de la resolución de nombres (DNS) de vista y xp para evitar que las maquinas afectadas puedan comunicarse con los fabricantes de antivirus (ver sección de security product disablement en documento de SRI).

Colombia ocupa el cuarto (4) lugar en la lista de países más afectados -China es el primero-, Estados Unidos el décimo. Teniendo Estados unidos muchos más computadores que nosotros, porque razón ocupa el décimo lugar? sencillo, sus redes y computadores están mejor parchados y mejor administrados que los nuestros. Una y otra vez tenemos que constatar entre nuestros clientes como en casi todos los casos las dificultades con el downadup se remiten a falla en configuración, actualizaciones y parches, y no los culpamos, pues obviamente entre mayor el tamaño de la organización, más difícil es tener bajo control su infraestructura.

Ya Symantec detecta esta amenaza y es capaz de removerla eficazmente, pero las recomendaciones para nuestros clientes hoy como ayer, siguen siendo las mismas y no deben ser tomadas a la ligera:

Máquinas con los últimos parches de Microsoft y sistemas operativos que sean vigentes y soportados por Microsoft.
Usar WSUS para mantener al día sus parches u otro producto que le permita tener parchadas las máquinas.
Si está confiado y sólo tiene WSUS, realice una auditoría de parches utilizando un producto de Gestión de vulnerabilidades en la LAN, porque el WSUS no parcha todo y si su directorio activo no esta muy bien organizado se le pueden quedar muchas máquinas sin parchar.
Definiciones Antivirus al día y ojalá todos con la versión Endpoint 11
Tener activado el módulo de IPS de Endpoint
Deshabilitar el modulo Autorun de unidades removibles
Eliminar recursos compartidos sin password
No otorgar privilegios de Administrador a cuentas de usuarios
Deshabilitar el usuario anónimo o guest en su dominio
Habilitar escaneos programados en servidores y estaciones al menos una vez a la semana (diariamente en caso de emergencia)
Si tiene contratistas o PCs externos que entren y salgan con laptops y accedan a su red, estos deben cumplir con las políticas de seguridad de su organización (Antivirus, firewall etc.)
Controle la ejecución de programas desde USB removibles usando las políticas de control de dispositivos de Endpoint, es decir no permita ejecución de .exe desde allí.

Encuentre mayor información sobre esta amenaza en el sitio de Symantec Security Response : http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=2
Cuando se está bajo el ataque de Downadup uno de los síntomas es que las cuentas del dominio se bolquean por intentos fallidos de logon, mientras que se controla la amenaza se debe deshabilitar la política de account lockout en el dominio, para permitir que los usuarios sigan trabajando. Este es uno de los efectos colaterales del downadup, pero no resuelve nada, Parchar, actualizar definiciones, maquinas y escanear son las acciones que se deben tomar de inmediato, pero por supuesto, es mucho mejor haberlas hecho antes. Guerra avisada, no mata soldado, o si?

Fuente: http://www.emailbrain.com/rwcode/con...4&SiteID=30863

Noticia tomada de laneros.