Conficker.C 蠕蟲對資訊保安所產生的影響

發佈日期: 2009年03月25日 3854 觀看次數

Introduction

Conficker (又名 Downadup, Kido) 是一種針對微軟視窗系統的電腦蠕蟲。自2008年11月首次發現後，仍在不斷變化。在2008年11月至2009年2月期間發現了變種 A，B及B++。香港電腦保安事故協調中心在2009年2月號的資訊保安報已發表了一份事故分析去介紹 Conficker 蠕蟲。在過去數星期，新聞報導 (1) 都非常關注在3月初發現的 Conficker.C 蠕蟲變種的發展。由於新變種的域名產生方法會在 2009 年4月1日啟動，因此有可能產生一些新的保安威脅。有見及此，香港電腦保安事故協調中心亦對 Conficker.C 蠕蟲提升了警告級別並發佈這個忠告。

Conficker.C 的主要變更

根據 SRI 的報告 "An Analysis of Conficker C" 增訂版本資料, Conficker.C 是由之前的版本大幅修改而成。新增的功能非常注重防禦方面，藉此延長 Conficker 在受感染電腦上的生存時間。它有以下數項的重大變更：

新的域名產生方法
由2009年4月1日起，Conficker.C 每日會採用 116 高階域名(TLDs)去產生 50,000 個域名。Conficker.C 每日只抽選其中 500 個域名執行一次性查詢來進行更新程序。新的域名產生方法的設計是企圖避開全球保安團隊搶截 Conficker 作者登記域名的策略。

P2P 更新
利用 P2P 協調去發佈經數碼簽署的檔案來進行更新程序。每一部受感染的電腦可以負責伺服器或客戶端。

阻止第三方搶奪的保安功能
採用最新的加密系統 MD-6 簽署去辨別上載檔案作者的身份，阻止其他團體上載任意的執意檔案來佔據受感染的系統。

較佳的防禦功能去對抗保安服務程式
增加偵測和終止保安服務程式的能力，藉此對抗反惡意程式軟件。它有防止查詢域名功能來阻止查詢保安軟件公司的域名。它會終止防火牆、Windows defender和一系列的保安服務程式。

影響

Conficker.C 蠕蟲本身是 *不會* 攻擊互聯網的使用者。但是，它連接更新伺服器時所使用的方法會產生以下的保安威脅 (3)：

對之前感染了 Conficker A 和 B 的電腦所帶來的威脅
已感染 Conficker.A 或 Conficker.B 但還未清理的電腦，可能嘗試經 HTTP 更新至 Conficker.C 版本。Conficker.C 蠕蟲有較好的防禦功能，要清除它變得更加困難。

Conficker.C 蠕蟲引起的網絡交通威脅
新的域名產生方法會有一個副作用，這個隨機產生域名的方法可能會包括一些已登記的正常域名。由2009年4月1日開始，Conficker.C 蠕蟲會嘗試連接這些域名，因而有可能對正常的域名造成分散式阻斷服務攻擊。大量湧入的網絡交通會影響網站的擁有人和有關網絡服務供應商的網絡。

Conficker.C 蠕蟲隨機產生的已登記正常域名列表：
http://iv.cs.uni-bonn.de/uploads/media/collisions_april.zip

由 Conficker.C 作者引起的入侵攻擊
Conficker.C 作者可能嘗試攻擊那些在域名產生方法下的正常網站，預備將它變成一個控制集合的地點。

解決方案

預防	必須為 Windows 系統的電腦安裝在 2008年10月24日所發佈的 MS08-067 修補程式。
	安裝防毒軟件和保持更新病毒識別碼檔案。
	安裝和所啟動防火牆軟件。若使用者是直接連接到互聯網，例如：流動的互聯網使用者或使用者沒有使用防火牆功能的路由器，都必須啟動防火牆軟件。
	為使用者帳戶和檔案分享選取較強的密碼保護。
	如果可以，請停止外置裝置的自動執行和自動播放功能。
	企業使用了網頁代理伺服器 (例如 Squid)，入侵偵測系統或內容過濾軟件，可以監察對內和對外網絡交通的 HTTP get 字串 (2) - http://{domainname}/search?q=n \&aq=7} (適用於 Conficker A) - *http://{domainname}/search?q=n* (適用於 Conficker B)
偵測 (4)	檢查那些無法連接到保安軟件供應商網站的電腦或無法下載更新的電腦。這些電腦可能已受感染。以下網站有一個簡單的測試來判斷這個情況： Conficker 線上感染測試，適用於 Conficker A 至 C http://www.confickerworkinggroup.org/infection_test/cfeyechart.html Conficker 線上感染測試，適用於 Conficker B 至 D http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
	使用Active Directory 的企業，請檢查是否每日都有大量因入侵防護而遭凍結的 AD 帳戶。這種徵狀可能是惡意程式嘗試進行密集式密碼攻擊所引致的後果。網絡上可能有電腦已受感染。
	企業網絡可以利用網絡掃瞄工具去尋找網絡上受感染的電腦。注意：在安裝或執行工具程式前，請先閱讀由軟件供應商提供的使用指示。 Conficker 遠端掃瞄器 - scs2.exe (適用於 Conficker A 至 D) http://four.cs.uni-bonn.de/uploads/media/scs2.zip Nmap 4.85beta7 或以上版本 (適用於 Conficker A 和 B) http://nmap.org/download.html Conficker Active P2P Scanner (適用於 Conficker C) http://mtc.sri.com/Conficker/contrib/scanner.html
	企業使用了 Snort 入侵偵測系統，可以採用特定的 IDS 識別碼在網絡上偵測 Conficker 攻擊或尋找受感染的電腦。注意：在安裝或執行工具程式前，請先閱讀由軟件供應商提供的使用指示。 Snort IDS 識別碼 (適用於 Conficker A 和 B) http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
回應	已感染 Conficker 的電腦，請下載以下的 Conficker 蠕蟲移除工具程式去清理電腦。注意：在安裝或執行工具程式前，請先閱讀由軟件供應商提供的使用指示。 http://www.bdtools.net/how-to-remove-downadup.php
回應	在這段時間，若網站遇到分散式阻斷服務攻擊，網站的擁有人可聯絡網絡服務供應商和香港電腦保安事故協調中心尋求協助。