Sprache: English | Deutsch 
 
Home » Learning Center » Task: Conficker-Suche 

Task: Conficker-Suche

Conficker ist ein im Herbst 2008 aufgetauchter Wurm der Windows Betriebssysteme gefährdet und zu zahlreichen Ausfällen sowie umfangreichen finanziellen Schaden geführt hat. Er nutzt eine Sicherheitslücke des Betriebssystems aus und aktualisiert sich selbst.

Das Microsoft Bulletin MS08-067 beschreibt die wichtigste Sicherheitslücke die Conficker ausnutzt um das betreffende System zu befallen.

Suchmethoden für Schwachstellen und Befall

top^

Mit dem Greenbone Security Manager empfehlen sich zwei unterschiedliche Methoden zur Suche:

  • Suche nach Systemen, die mit der Conficker infiziert sind, kombiniert mit einer nicht-invasive Suche nach der von Microsoft im Bulletin MS08-067 beschriebenen Sicherheitslücke.

  • Invasive Suche nach der von Microsoft im Bulletin MS08-067 beschriebenen Sicherheitslücke, ebenfalls inklusive der Conficker-Suche.

Die erste Methode kann nicht in allen Fällen das Vorhandensein der Schwachstelle aufdecken. Die zweite Methode geht für das Aufdecken soweit, dass versucht wird die Schwachstelle selbst auszunutzen um Gewissheit zu bekommen ob sie vorliegt. Dabei kann es allerdings zum Ausfall des betreffenden Systems kommen uns sollte nur mit entsprechender Umsicht ausgeführt werden.

Suche nach Schwachstelle und Conficker ausführen

top^

  1. Importieren Sie die Scan Configuration Conficker Search oder für die invasive Suche die Scan Configuration Invasive Conficker Search.

  2. Falls das Zielsysteme keine anonyme Anmeldung erlaubt, erstellen Sie Credentials um der Scan-Engine Zugang zu den Zielsystemen zu geben. Falls noch nicht geschehen, erstellen Sie dafür einen ensprechenden Anwender auf Ihren Windows-Systemen (ein niedrig privilegiertes Benutzer-Konto reicht aus).

  3. Legen Sie die Zielsysteme (Targets) fest und wählen Sie ggf. die entsprechenden Credentials.

  4. Nun können Sie die Aufgabe (Task) erstellen. Dafür kombinieren Sie die oben importierte Scan Configuration mit dem entsprechend erstellten Zielsystemen.

  5. Die Suche wird gestartet in dem Sie für den eben erstellten Task auf klicken. Es kann einige Zeit dauern, bis der Scan abgeschlossen ist. Den aktuellen Stand des Scans erhalten Sie indem Sie auf klicken.

  6. Sobald der Status auf "Done" wechselt, ist der vollständige Bericht verfügbar. Sie können aber auch schon während des Scans die bereits gefundenen Ergebnisse einsehen. Hier ein Beispiel für ein System bei dem das Hersteller-Update für MS08-67 nicht eingespielt wurde.


Greenbone Networks GmbH © 2009-2010
Alle Rechte vorbehalten. Impressum. Datenschutzerklärung.
Kontakt
FAQ