Tcnicas de escaneo masivo y
estadsticas de
vulnerabilidades
�Contenido
Introduccin al escaneo masivo
Herramientas: Nmap, Dnmap, Zmap, Masscan
Escaneo con Botnet de ruteadores
Escaneos diarios de todo Internet por un ao
Estadsticas de dispositivos de Mxico
Puertas traseras de dispositivos populares de Mxico
�Introduccin al escaneo masivo
Nmap es la herramienta que todos siguen utilizando.
Dnmap te permite realizar escaneos distribuidos.
Zmap te permite escanear todo el rango ipv4 en una hora.
Masscan requiere hardware adicional, escanea todo Internet en 3 m.
�Dnmap escaneando desde 10 servidores Websec
�Zmap - [Link]
Creado por la Universidad de Michigan
Puede escanear un puerto de todo IPv4 en 45 minutos
Sigue activo su desarrollo en github
Un solo paquete SYN por host a max 1.4 M por segundo :O
�Zmap vs Nmap
Tipo de escaneo
Cobertura normalizada
Duracin
Tiempo estimado por todo Internet
Nmap (default)
0.978
45:03
116.3 das
Nmap (1 probe)
0.814
24:12
62 das
ZMap, 2 probes
1.000
00:11
[Link]
ZMap, (default)
0.987
00:10
[Link]
Tipo de escaneo
Parmetros utilizados
Nmap (default)
nmap Ss p 443 T5 Pn n min-rate 10000
Nmap (1 probe)
nmap Ss p 443 T5 Pn n min-rate 10000 max-retries 0
ZMap, 2 probes
zmap P 2 p 443
ZMap, (default)
zmap p 443
�Recoleccin de informacin Zmap
Muy buena informacin en el reporte [Link]
Ms de 200 escaneos de todo Internet
Publicaron algunas estadsticas
�Estadsticas de adopcin de SSL - Zmap
Obtuvieron 43 Millones de
certificados
Compararon los sitios que
recientemente adquirieron SSL
Observaron un crecimiento del
19.6% a lo largo de un ao
�Estadsticas de dispositivos vulnerables UPnP
Rapid7 (17/11/12)
2.2% de Internet es UPnP
81 Millones de direcciones IP
20% de 81 M tienen SOAP API
23 Millones tienen libupnp vulnerable
Un solo paquete UDP es lo que se requiere para comprometerlos.
�Estadsticas de dispositivos vulnerables UPnP
ZMap (11/02/13)
15.7 millones de direcciones IP accesibles remotamente UPnP
16.5% de 15.7 M
2.56 millones tienen Intel UPnP vulnerable
+817,000 tienen MiniUPnP vulnerable
Un par de horas es lo que se requiere para comprometer todos los
+3.4 millones de hosts
�Pero tambin sirve para cosas buenas
�Estadsticas de disponibilidad durante
huracn Sandy Zmap
Escaneo cada 2 horas de todo
IPv4 durante el huracn.
En la costa este de EEUU se not
un decremento del 30% de
puertos abiertos.
�MASSCAN Todo Internet en 3 minutos
Segn ellos puede escanear todo IPv4 en 3 minutos
[Link]
Para sobrepasar los 2 M de paquetes por segundo requiere una
tarjeta Ethernet Intel 10-gbps y el driver PF_RING DNA
Velocidad mxima de 25 Millones de paquetes por segundo
Encrypted monotonically increasing index
masscan [Link]/0 -p443 --rate 25000000
�Estadsticas de SNMP Errata Security
Protocolo de administracin de dispositivos
Robert Graham en octubre 2013
GET sysName y sysDescr
masscan [Link]/0 -pU:161 --banners
�Estadsticas de SNMP Errata Security
Cantidad SysName
288176 CableHome
145375 TD5130
123819 Unknown
119946 Broadcom
108174 CHT
79667 unnamed
48492 Innacomm
36876 KWS-1040G
28779 DSL-2640B
27768 P-660R-T1
27447 router
25229 WA3002G4
24178 ADSL
22738 ADSL
20528 Speedy
19828 Telefonica
18884 D-Link
18384 nobrand
17136 DSL-2500U
15755 Beetel
13175 Sprint
12374 Siemens
12032 RTL867x
11782 DNA-A211-I
10971 unknown
9738 USR9111
Cantidad
SysDescr
189979P-660HW-D1
132290Software Version 3.10L.01
122354Linux WNR1000v2 2.6.15
79667ucd-snmp-4.1.2/eCos
74816P874S5AP_20120106W
74654Linux ADSL2PlusRouter 2.6.19
74435Technicolor CableHome Gateway
73785CBW700N
65439System Description
55851Thomson CableHome Gateway
52248Wireless ADSL Gateway
41910Hardware
39351Linux ADSL2PlusRouter 2.6.19
38372Ubee PacketCable 1.5 W-EMTA
31197Netopia 3347-02 v7.8.1r2
30728P-660HW-T1 v2
28390Apple Base Station V3.84 Compatible
28311GE_1.07
27017ZXV10 W300
��Internet Census 2012 Carna Botnet
Botnet no maligna utilizada para escanear todo Internet
Utiliz 420,000 dispositivos para escanear 730 puertos
Velocidad de hasta 4.2 millones de IPs por segundo
El reporte es enorme con ms de 9 TB de datos
Utilizando Nmap NSE fue que descubrieron dispositivos vulnerables
�420 Millones
respondieron
al Ping
�165 millones
Tienen
puertos
comunes
abiertos
��Dominios Carna Botnet
Cantidad
Dominio
TLD
61327865
ne
jp
34434270
bbtec
net
30352347
comcast
net
.jp
27949325
myvzw
com
28059515
.it
24919353
rr
com
28026059
.br
22117491
sbcglobal
net
21415524
.de
18639539
telecomitalia
it
17480504
verizon
net
20552228
.cn
16467453
com
br
17450093
.fr
16378853
ge
com
17363363
.au
15743176
spcsdns
net
15081211
com
cn
17296801
.ru
14023982
t-dialin
net
16,910,153
.mx
13,421,570
com
mx
Cantidad
TLD
374670873
.net
199029228
.com
75612578
�SubDominios Carna Botnet
Cantidad
Subdominio
Dominio
TLD
16492585
res
rr
com
16378226
static
ge
com
15550342
pools
spcsdns
net
14902477
163data
com
cn
14023979
dip
t-dialin
net
12268872
abo
wanadoo
fr
11685789
business
telecomitalia
it
11492183
ocn
ne
jp
10,192,958
prod-infinitum
com
mx
�SubDominios .mx Carna Botnet
Cantidad
SubSubDominio
10,192,958
Subdominio
Dominio
TLD
prod-infinitum
com
mx
577,483
dyn
cableonline
com
mx
208,147
static
avantel
net
mx
157,059
static
metrored
net
mx
�Internet Wide Scan Data Repository
[Link] :
University of Michigan HTTPS Ecosystem Scans
University of Michigan Hurricane Sandy ZMap Scans
Rapid7 [Link] Service Fingerprints
Rapid7 SSL Certificates
Rapid7 Reverse DNS
�[Link] Service Fingerprints Rapid7
El proyecto [Link] descubra vulnerabilidades en todo IPv4
Fue llevado a cabo de mayo 2012 a marzo 2013
Se puede encontrar la informacin diaria en
[Link]
��Escaneo masivo realizado por
Websec
Paulino Caldern de Websec
HTTP Banners & DNS Open Resolver
�Identificando dispositivos HTTP
Cabeceras HTTP:
WWW-Authenticate: Basic realm=Portal de Inicio
Content-Type: text/html

Transfer-Encoding: chunked

Server: RomPager/4.07 UPnP/1.0

Connection: close

Puerto 50001 para identificar 2Wire.
�Legal
Se realiz una peticin web tal como la realizara un navegador
comn.
No es intrusivo.
No guardamos las direcciones IP.
[Link]
10/30/legal-considerations-for-widespread-scanning
[Link]
�Recolectando datos
Recolectamos
2,928,361 cabeceras HTTP o banners de web servers
corriendo en puerto 80
y 443.
Base de datos de IPs de Mxico pblica con ms de 26 millones de
registros. Puede ser descargada de [Link]
�Utilizando Dnmap para escanear Mxico
Nmap ([Link]
Dnmap ([Link]
http-headers ([Link]
�Resultados
Web servers encontrados: 2,928,361
Tres dispositivos dominan:
Huawei:
2Wire:
Thomson:
1,720,910
422,685
321,467
�16%
Huawei: 1,720,910
14%
Thomson: 321,467
2WIRE: 422,685
59%
11%
Otros: 463,299
�PFSENSE
1%
Draytek routers
1%
SonicWALL
2%
Otros
43%
Cisco Routers
SonicWALL
Draytek router
Apache
16%
Cisco Routers
14%
Apache
IIS
Coyote
Aastra IP phon
Hikvision
uc-httpd
Otros
Aastra IP phone
2%
Hikvision
6%
uc-httpd
1%
PFSENSE
IIS
13%
Coyote
1%
�16%
No sabemos
VULNERABLES
84%
�Utilizando Zmap para escanear Mxico
26 millones de direcciones IP (Mxico)
escaneado en 10 minutos
IPv4 puerto 53 TCP escaneado en 2 horas
Se utiliz un servidor con conexin de 1Gbps
�Estadsticas de DNS vulnerables - Websec
Vulnerabildad: DNS Open Resolver
Paulino modific el script NSE [Link]
Se han detectado ~ 130,000 servidores vulnerables
Anlisis en curso
�Puertas traseras remotas
en dispositivos populares
de Mxico
Huawei, Alcatel-Lucent, TP-Link, Technicolor
�Que es una Puerta Trasera?
Mtodo de acceso que puede
ser utilizado para evadir polticas
de seguridad. (Microsoft)
Mtodo de acceso no
documentado.
Comnmente olvidado por los
desarrolladores.
Frecuentemente es
implementada a propsito y
ocultada por los fabricantes.
Administracin expuesta a Internet
Funciones / Interfaces redundantes
Parmetros ocultos
Cuentas comunes
Configuracin expuesta
�Huawei Remote Shell via /rom-0
Contrasea en archivo de configuracin,
Habilitar interfaz de administracin telnet,
Acceso remoto,
Borrado de logs.
� ZynOS tiene una vulnerabilidad
conocida que consiste en poder
descargar la configuracin sin
autenticacin.
La configuracin se encuentra
localizada en la interfaz web en
/rom-0
El archivo rom-0 es un archivo
binario comprimido en formato
LZW.
Es posible extraer informacin
como clave de administrador, WEP
default, versiones, etc.
�Puerta trasera y ejecucin de
comandos en Alcatel-Lucent
Encontrada por Pedro Joaqun de Websec
Cuenta por defecto: telecomadmin:nE7jA%5m
Ejecucin de comandos desde interfaz web,
Router botnet c/IRC C&C
�Puerta trasera Alcatel-Lucent - Websec
Ejecucin de comandos en interfaz web (ping).
Contenido del archivo de usuarios web:
11/24/2013
[Link]
43
�Puerta trasera y ejecucin de
comandos en TP-Link
Descubierta por Paulino Caldern de Websec
Cuenta por defecto: osteam:5up
URL escondido: /userRpmNatDebugRpm26525557/linux_cmdline.html
�TP-Link Backdoor - Websec
El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web
oculta para depuracin que podra servir de puerta trasera a atacantes
localizada en/userRpmNatDebugRpm26525557/linux_cmdline.html
El nombre de usuario de esta consola esta guardado estticamente en el
binario del servidor HTTP y la contrasea no puede ser cambiada desde la
interfaz web, por lo que siempre es valida la siguiente cuenta:
Usuario: osteam Contrasea: 5up
La criticidad de esta vulnerabilidad es alta debido a que a travs de esta
consola se pueden ejecutar comandos en el sistema con privilegios root
como agregar reglas de redireccin de trafico y modificar archivos de
configuracin
��Video
[Link]
�Puerta trasera en
Technicolor TG 582n
superman:superman
�Puerta trasera en Technicolor TG 582n
��Lista de puertas traseras comunes de Mxico
Marca
Modelo
Puerta trasera
Acceso
remoto
Parche del ISP
11/17/2013
Deteccin
por DPT
Huawei
HG5xxx
Archivo de configuracin con contrasea
Si
Si
Si
Technicolor
TG582n
Cuenta de administracin oculta
Si
No
Si
Alcatel-Lucent
I-240-W
Cuenta de administracin oculta
Si
No
Si
TP-Link
WDR740 URL de administracin oculta
No
No
Si
Varias
Varios
Cuentas comunes de administracin
Si
�Detector de Puertas Traseras
D.P.T. v2.0
�Detector de Puertas Traseras v2.0 - Websec
�Video
[Link]
�Tcnicas de escaneo masivo y
estadsticas de
vulnerabilidades
�Referencias
[Link]
[Link]
[Link]
[Link]
[Link]
ome-to-project-sonar
[Link]
[Link]
[Link]
[Link]
