Tcnicas de escaneo masivo y

estadsticas de
vulnerabilidades

Contenido
Introduccin al escaneo masivo
Herramientas: Nmap, Dnmap, Zmap, Masscan
Escaneo con Botnet de ruteadores
Escaneos diarios de todo Internet por un ao
Estadsticas de dispositivos de Mxico
Puertas traseras de dispositivos populares de Mxico

Introduccin al escaneo masivo

Nmap es la herramienta que todos siguen utilizando.
Dnmap te permite realizar escaneos distribuidos.
Zmap te permite escanear todo el rango ipv4 en una hora.
Masscan requiere hardware adicional, escanea todo Internet en 3 m.

Dnmap escaneando desde 10 servidores Websec

Zmap - http://zmap.io
Creado por la Universidad de Michigan
Puede escanear un puerto de todo IPv4 en 45 minutos
Sigue activo su desarrollo en github
Un solo paquete SYN por host a max 1.4 M por segundo :O

Zmap vs Nmap
Tipo de escaneo

Cobertura normalizada

Duracin

Tiempo estimado por todo Internet

Nmap (default)

0.978

45:03

116.3 das

Nmap (1 probe)

0.814

24:12

62 das

ZMap, 2 probes

1.000

00:11

2:12:35

ZMap, (default)

0.987

00:10

1:09:45

Tipo de escaneo

Parmetros utilizados

Nmap (default)

nmap Ss p 443 T5 Pn n min-rate 10000

Nmap (1 probe)

nmap Ss p 443 T5 Pn n min-rate 10000 max-retries 0

ZMap, 2 probes

zmap P 2 p 443

ZMap, (default)

zmap p 443

Recoleccin de informacin Zmap

Muy buena informacin en el reporte https://zmap.io/paper.pdf
Ms de 200 escaneos de todo Internet
Publicaron algunas estadsticas

Estadsticas de adopcin de SSL - Zmap

Obtuvieron 43 Millones de
certificados
Compararon los sitios que
recientemente adquirieron SSL
Observaron un crecimiento del
19.6% a lo largo de un ao

Estadsticas de dispositivos vulnerables UPnP

Rapid7 (17/11/12)

2.2% de Internet es UPnP

81 Millones de direcciones IP

20% de 81 M tienen SOAP API

23 Millones tienen libupnp vulnerable
Un solo paquete UDP es lo que se requiere para comprometerlos.

Estadsticas de dispositivos vulnerables UPnP

ZMap (11/02/13)

15.7 millones de direcciones IP accesibles remotamente UPnP

16.5% de 15.7 M
2.56 millones tienen Intel UPnP vulnerable
+817,000 tienen MiniUPnP vulnerable
Un par de horas es lo que se requiere para comprometer todos los

+3.4 millones de hosts

Pero tambin sirve para cosas buenas

Estadsticas de disponibilidad durante

huracn Sandy Zmap
Escaneo cada 2 horas de todo
IPv4 durante el huracn.
En la costa este de EEUU se not
un decremento del 30% de
puertos abiertos.

MASSCAN Todo Internet en 3 minutos

Segn ellos puede escanear todo IPv4 en 3 minutos
https://github.com/robertdavidgraham/masscan
Para sobrepasar los 2 M de paquetes por segundo requiere una
tarjeta Ethernet Intel 10-gbps y el driver PF_RING DNA
Velocidad mxima de 25 Millones de paquetes por segundo
Encrypted monotonically increasing index
masscan 0.0.0.0/0 -p443 --rate 25000000

Estadsticas de SNMP Errata Security

Protocolo de administracin de dispositivos
Robert Graham en octubre 2013
GET sysName y sysDescr
masscan 0.0.0.0/0 -pU:161 --banners

Estadsticas de SNMP Errata Security

Cantidad SysName
288176 CableHome
145375 TD5130
123819 Unknown
119946 Broadcom
108174 CHT
79667 unnamed
48492 Innacomm
36876 KWS-1040G
28779 DSL-2640B
27768 P-660R-T1
27447 router
25229 WA3002G4
24178 ADSL
22738 ADSL
20528 Speedy
19828 Telefonica
18884 D-Link
18384 nobrand
17136 DSL-2500U
15755 Beetel
13175 Sprint
12374 Siemens
12032 RTL867x
11782 DNA-A211-I
10971 unknown
9738 USR9111

Cantidad
SysDescr
189979P-660HW-D1
132290Software Version 3.10L.01
122354Linux WNR1000v2 2.6.15
79667ucd-snmp-4.1.2/eCos
74816P874S5AP_20120106W
74654Linux ADSL2PlusRouter 2.6.19
74435Technicolor CableHome Gateway
73785CBW700N
65439System Description
55851Thomson CableHome Gateway
52248Wireless ADSL Gateway
41910Hardware
39351Linux ADSL2PlusRouter 2.6.19
38372Ubee PacketCable 1.5 W-EMTA
31197Netopia 3347-02 v7.8.1r2
30728P-660HW-T1 v2
28390Apple Base Station V3.84 Compatible
28311GE_1.07
27017ZXV10 W300

Internet Census 2012 Carna Botnet

Botnet no maligna utilizada para escanear todo Internet
Utiliz 420,000 dispositivos para escanear 730 puertos
Velocidad de hasta 4.2 millones de IPs por segundo

El reporte es enorme con ms de 9 TB de datos

Utilizando Nmap NSE fue que descubrieron dispositivos vulnerables

420 Millones
respondieron
al Ping

165 millones
Tienen
puertos
comunes
abiertos

Dominios Carna Botnet

Cantidad

Dominio

TLD

61327865

ne

jp

34434270

bbtec

net

30352347

comcast

net

.jp

27949325

myvzw

com

28059515

.it

24919353

rr

com

28026059

.br

22117491

sbcglobal

net

21415524

.de

18639539

telecomitalia

it

17480504

verizon

net

20552228

.cn

16467453

com

br

17450093

.fr

16378853

ge

com

17363363

.au

15743176

spcsdns

net

15081211

com

cn

17296801

.ru

14023982

t-dialin

net

16,910,153

.mx

13,421,570

com

mx

Cantidad

TLD

374670873

.net

199029228

.com

75612578

SubDominios Carna Botnet

Cantidad

Subdominio

Dominio

TLD

16492585

res

rr

com

16378226

static

ge

com

15550342

pools

spcsdns

net

14902477

163data

com

cn

14023979

dip

t-dialin

net

12268872

abo

wanadoo

fr

11685789

business

telecomitalia

it

11492183

ocn

ne

jp

10,192,958

prod-infinitum

com

mx

SubDominios .mx Carna Botnet

Cantidad

SubSubDominio

10,192,958

Subdominio

Dominio

TLD

prod-infinitum

com

mx

577,483

dyn

cableonline

com

mx

208,147

static

avantel

net

mx

157,059

static

metrored

net

mx

Internet Wide Scan Data Repository

https://scans.io/ :
University of Michigan HTTPS Ecosystem Scans
University of Michigan Hurricane Sandy ZMap Scans
Rapid7 Critical.IO Service Fingerprints
Rapid7 SSL Certificates
Rapid7 Reverse DNS

Critical.IO Service Fingerprints Rapid7

El proyecto critical.io descubra vulnerabilidades en todo IPv4
Fue llevado a cabo de mayo 2012 a marzo 2013
Se puede encontrar la informacin diaria en
https://scans.io/study/sonar.cio

Escaneo masivo realizado por

Websec
Paulino Caldern de Websec
HTTP Banners & DNS Open Resolver

Identificando dispositivos HTTP

Cabeceras HTTP:
WWW-Authenticate: Basic realm=Portal de Inicio
Content-Type: text/html

Transfer-Encoding: chunked

Server: RomPager/4.07 UPnP/1.0

Connection: close


Puerto 50001 para identificar 2Wire.

Legal
Se realiz una peticin web tal como la realizara un navegador
comn.
No es intrusivo.
No guardamos las direcciones IP.
https://community.rapid7.com/community/infosec/sonar/blog/2013/
10/30/legal-considerations-for-widespread-scanning
https://zmap.io/documentation.html#bestpractices

Recolectando datos
Recolectamos

2,928,361 cabeceras HTTP o banners de web servers

corriendo en puerto 80

y 443.

Base de datos de IPs de Mxico pblica con ms de 26 millones de

registros. Puede ser descargada de http://software77.net/geo-ip/

Utilizando Dnmap para escanear Mxico

Nmap (http://nmap.org)
Dnmap (http://dnmap.sourceforge.net)
http-headers (http://nmap.org/nsedoc/scripts/http-headers.html)

Resultados
Web servers encontrados: 2,928,361
Tres dispositivos dominan:
Huawei:
2Wire:
Thomson:

1,720,910
422,685
321,467

16%

Huawei: 1,720,910

14%

Thomson: 321,467
2WIRE: 422,685

59%
11%

Otros: 463,299

PFSENSE
1%
Draytek routers
1%
SonicWALL
2%

Otros
43%

Cisco Routers
SonicWALL

Draytek router

Apache
16%

Cisco Routers
14%

Apache
IIS
Coyote

Aastra IP phon
Hikvision
uc-httpd
Otros

Aastra IP phone
2%

Hikvision
6%

uc-httpd
1%

PFSENSE

IIS
13%

Coyote
1%

16%

No sabemos
VULNERABLES

84%

Utilizando Zmap para escanear Mxico

26 millones de direcciones IP (Mxico)
escaneado en 10 minutos
IPv4 puerto 53 TCP escaneado en 2 horas
Se utiliz un servidor con conexin de 1Gbps

Estadsticas de DNS vulnerables - Websec

Vulnerabildad: DNS Open Resolver
Paulino modific el script NSE dns-recursion.nse
Se han detectado ~ 130,000 servidores vulnerables
Anlisis en curso

Puertas traseras remotas

en dispositivos populares
de Mxico
Huawei, Alcatel-Lucent, TP-Link, Technicolor

Que es una Puerta Trasera?

Mtodo de acceso que puede
ser utilizado para evadir polticas
de seguridad. (Microsoft)
Mtodo de acceso no
documentado.
Comnmente olvidado por los
desarrolladores.
Frecuentemente es
implementada a propsito y
ocultada por los fabricantes.

Administracin expuesta a Internet

Funciones / Interfaces redundantes

Parmetros ocultos
Cuentas comunes

Configuracin expuesta

Huawei Remote Shell via /rom-0

Contrasea en archivo de configuracin,
Habilitar interfaz de administracin telnet,
Acceso remoto,
Borrado de logs.

 ZynOS tiene una vulnerabilidad

conocida que consiste en poder
descargar la configuracin sin
autenticacin.
La configuracin se encuentra
localizada en la interfaz web en
/rom-0
El archivo rom-0 es un archivo
binario comprimido en formato
LZW.
Es posible extraer informacin
como clave de administrador, WEP
default, versiones, etc.

Puerta trasera y ejecucin de

comandos en Alcatel-Lucent
Encontrada por Pedro Joaqun de Websec
Cuenta por defecto: telecomadmin:nE7jA%5m
Ejecucin de comandos desde interfaz web,
Router botnet c/IRC C&C

Puerta trasera Alcatel-Lucent - Websec

Ejecucin de comandos en interfaz web (ping).
Contenido del archivo de usuarios web:

11/24/2013

http://www.websec.mx

43

Puerta trasera y ejecucin de

comandos en TP-Link
Descubierta por Paulino Caldern de Websec
Cuenta por defecto: osteam:5up
URL escondido: /userRpmNatDebugRpm26525557/linux_cmdline.html

TP-Link Backdoor - Websec

El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web
oculta para depuracin que podra servir de puerta trasera a atacantes
localizada en/userRpmNatDebugRpm26525557/linux_cmdline.html
El nombre de usuario de esta consola esta guardado estticamente en el
binario del servidor HTTP y la contrasea no puede ser cambiada desde la
interfaz web, por lo que siempre es valida la siguiente cuenta:
Usuario: osteam Contrasea: 5up
La criticidad de esta vulnerabilidad es alta debido a que a travs de esta
consola se pueden ejecutar comandos en el sistema con privilegios root
como agregar reglas de redireccin de trafico y modificar archivos de
configuracin

Video
http://youtu.be/nSnXx4uY_1w

Puerta trasera en
Technicolor TG 582n
superman:superman

Puerta trasera en Technicolor TG 582n

Lista de puertas traseras comunes de Mxico

Marca

Modelo

Puerta trasera

Acceso
remoto

Parche del ISP

11/17/2013

Deteccin
por DPT

Huawei

HG5xxx

Archivo de configuracin con contrasea

Si

Si

Si

Technicolor

TG582n

Cuenta de administracin oculta

Si

No

Si

Alcatel-Lucent

I-240-W

Cuenta de administracin oculta

Si

No

Si

TP-Link

WDR740 URL de administracin oculta

No

No

Si

Varias

Varios

Cuentas comunes de administracin

Si

Detector de Puertas Traseras

D.P.T. v2.0

Detector de Puertas Traseras v2.0 - Websec

Video
http://youtu.be/rdX45_rl3-4

Tcnicas de escaneo masivo y

estadsticas de
vulnerabilidades

Referencias
https://zmap.io/paper.pdf
http://community.rapid7.com/servlet/JiveServlet/download/2150-116596/SecurityFlawsUPnP.pdf
http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html
http://internetcensus2012.bitbucket.org
https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welc
ome-to-project-sonar
https://www.owasp.org/images/a/ae/OWASP_10_Most_Common_Backdoors.pdf
http://www.hakim.ws/2012/12/puerta-trasera-en-fibra-optica-alcatel-lucent-deinfinitum/
http://www.hakim.ws/2013/01/puerta-trasera-en-technicolor-tg582n/
http://www.websec.mx/advisories/view/puerta-trasera-tplink-wdr740