Conficker.C 蠕蟲對資訊保安所產生的影響
Introduction
Conficker (又名 Downadup, Kido) 是一種針對微軟視窗系統的電腦蠕蟲。自2008年11月首次發現後,仍在不斷變化。在2008年11月至2009年2月期間發現了變種 A,B及B++。香港電腦保安事故協調中心在2009年2月號的資訊保安報已發表了一份事故分析去介紹 Conficker 蠕蟲。在過去數星期,新聞報導 (1) 都非常關注在3月初發現的 Conficker.C 蠕蟲變種的發展。由於新變種的域名產生方法會在 2009 年4月1日啟動,因此有可能產生一些新的保安威脅。有見及此,香港電腦保安事故協調中心亦對 Conficker.C 蠕蟲提升了警告級別並發佈這個忠告。
Conficker.C 的主要變更
根據 SRI 的報告 "An Analysis of Conficker C" 增訂版本資料, Conficker.C 是由之前的版本大幅修改而成。新增的功能非常注重防禦方面,藉此延長 Conficker 在受感染電腦上的生存時間。它有以下數項的重大變更:
- 新的域名產生方法
由2009年4月1日起,Conficker.C 每日會採用 116 高階域名(TLDs)去產生 50,000 個域名。Conficker.C 每日只抽選其中 500 個域名執行一次性查詢來進行更新程序。新的域名產生方法的設計是企圖避開全球保安團隊搶截 Conficker 作者登記域名的策略。
- P2P 更新
利用 P2P 協調去發佈經數碼簽署的檔案來進行更新程序。每一部受感染的電腦可以負責伺服器或客戶端。
- 阻止第三方搶奪的保安功能
採用最新的加密系統 MD-6 簽署去辨別上載檔案作者的身份,阻止其他團體上載任意的執意檔案來佔據受感染的系統。
- 較佳的防禦功能去對抗保安服務程式
增加偵測和終止保安服務程式的能力,藉此對抗反惡意程式軟件。它有防止查詢域名功能來阻止查詢保安軟件公司的域名。它會終止防火牆、Windows defender和一系列的保安服務程式。
影響
Conficker.C 蠕蟲本身是 *不會* 攻擊互聯網的使用者。但是,它連接更新伺服器時所使用的方法會產生以下的保安威脅 (3):
- 對之前感染了 Conficker A 和 B 的電腦所帶來的威脅
已感染 Conficker.A 或 Conficker.B 但還未清理的電腦,可能嘗試經 HTTP 更新至 Conficker.C 版本。Conficker.C 蠕蟲有較好的防禦功能,要清除它變得更加困難。
- Conficker.C 蠕蟲引起的網絡交通威脅
新的域名產生方法會有一個副作用,這個隨機產生域名的方法可能會包括一些已登記的正常域名。由2009年4月1日 開始,Conficker.C 蠕蟲會嘗試連接這些域名,因而有可能對正常的域名造成分散式阻斷服務攻擊。大量湧入的網絡交通會影響網站的擁有人和有關網絡服務供應商的網絡。
Conficker.C 蠕蟲隨機產生的已登記正常域名列表:
http://iv.cs.uni-bonn.de/uploads/media/collisions_april.zip
- 由 Conficker.C 作者引起的入侵攻擊
Conficker.C 作者可能嘗試攻擊那些在域名產生方法下的正常網站,預備將它變成一個控制集合的地點。
解決方案
預防 |
|
| |
| |
| |
| |
| |
偵測 (4) |
|
| |
| |
| |
回應 |
|
|
相關連結
(1) Conficker 蠕蟲資訊和新聞
http://isc.sans.org/diary.html?storyid=6211
http://isc.sans.org/diary.html?storyid=5860
http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=Main.HomePage
http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9130228&intsrc=news_ts_head
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9130228&intsrc=news_ts_head
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9129239&intsrc=news_ts_head
http://bits.blogs.nytimes.com/2009/03/19/the-conficker-worm-april-fools-joke-or-unthinkable-disaster/
https://forums2.symantec.com/t5/Malicious-Code/W32-Downadup-C-Bolsters-P2P/ba-p/393331#A253
(2) Conficker 蠕蟲分析文章
http://mtc.sri.com/Conficker
http://mtc.sri.com/Conficker/addendumC/
https://www.honeynet.org/files/KYE-Conficker.pdf
(3) Conficker 蠕蟲的問與答
http://www.f-secure.com/weblog/archives/00001647.html
http://www.f-secure.com/weblog/archives/00001636.html
(4) 偵測 Conficker 蠕蟲
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
http://mtc.sri.com/Conficker/contrib/scanner.html
分享至