התראה מספר 1
headerAlert
 יום רביעי, 11 במרץ 2009 | טו' אדר תשס"ט 
 
  
alertDetails_02

התנהגות צפויה של תולעת ה-Conficker
ביום שישי הקרוב ה-13 לחודש!
  
alertDetails_04

גבוהה מאוד
  
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)
   

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- alerts@ipvsecurity.com
 


ללקוחותינו שלום,

התולעת, הידועה בשמותיה Conficker ו-Downadup, אשר אובחנה לראשונה בסוף דצמבר, הינה יותר בעייתית משחשבו בתחילה והינה בעלת מספר מוטציות שזוהו (Conficker.B, Conficker.B++, Conficker.C). על פניו נראה כי סיפור התולעת עדיין לא מתקרב לסיומו. עד כה מוערך כי כ-20 מיליון מחשבים נפגעו. מייקרוסופט הכריזה כי יינתן פרס של $250,000 למוסר מידע שיעזור לאתר את כותבי התולעת.

בשבוע שעבר התריעה חברת Sophos , והשבוע קיבלה חיזוקים מגורמים נוספים, כי ביום שישי הקרוב, ה-13.3.2009 יותקפו מספר אתרי אינטרנט בתקיפות  DDoS ע"י  Bots – כלומר על-ידי מחשבים הנגועים בתולעת. פניית המחשבים תהיה למספר אתרים ביניהם גם האתר של Southwest Airline  (wnsux.com). אתרים נוספים (כולם אתרים לגיטימיים) אליהם צפוייה פנייה של התולעת:  jogli.com (אתר מוסיקה),  qhflh.com (אתר מקומי לנשים) ו- praat.org (אתר לפונטיקה). הפנייה של התולעת מתבצעת באמצעות הפנייה הבאה:
http://<ip-address>/search?q=<N> where <ip-address>

חברת Southwest Airline כבר נקטה בפעולת מניעה וביטלה את הגישה לאתר.

השבוע הודיעה סימנטק כי המוטציה האחרונה מנטרלת תוכנות אנטי-וירוס וכלי זיהוי וניטור ופונה ל-50,000 דומיינים ביום.

בשבועות האחרונים אספנו מידע רב על התולעת הן ממקורות שונים באינטרנט והן ממבדקים שונים שערכנו אצל לקוחותינו באמצעות מערכת Network Behavior Analysis אשר מנתחת נתוני תעבורה ברשת על בסיס פרוטוקל ה-NetFlow.

להלן סיכום הממצאים. נשמח לענות על כל שאלה כמו גם לקבל פידבק.

בברכת חג פורים שמח ,
צוות איי פי וי סקיוריטי בע"מ
 
arrow כללי
     
 

במקרים רבים נצפתה פעילות של התולעת ואותרו מחשבים נגועים שלא זוהו ולא טופלו ע"י מערכת האנטי-וירוס – בעיקר ע"פ ניתוח התעבורה שלהם עם כתובות חיצוניות אשר זוהו כנקודות מפגש  (rendezvous points) המשמשות את התולעת. יש להדגיש שסוג כזה של תקשורת (בין תחנת קצה לכתובת אינטרנט חיצונית בפורט 80) אותר גם באירגונים אשר מחייבים גלישה אך ורק דרך פרוקסי כזה או אחר, וגם באירגונים אשר בהם מוצב  IPS ב-Gateway ; במקרים מסויימים אף אותרה תעבורה פנימה-החוצה ולהיפך בפורט 139 – מאפיין בולט נוסף של התולעת. פוטנציאל הסיכון כאן ברור מכיוון שמתבצעת עקיפה של כל מערכי ההגנה הארגוניים, וקבצים עוברים פנימה והחוצה ללא כל פיקוח וחסימה. 

מידע זה מצטרף לנתונים הבאים שנאספו על התולעת בשבועות האחרונים:

  1. התולעת הידועה בשמותיה  Conficker ו- Downadup הינה תולעת בעייתית יותר בעלת מספר מוטציות שזוהו (Conficker.B, Conficker.B++, Conficker.C ). על פניו נראה כי סיפור התולעת עדיין לא מתקרב לסיומו.
  2. סימנטק הודיעה לפני מספר ימים כי המוטציה החדשה של התולעת  (Conficker.C) שמה לה למטרה לנטרל תוכנות אנטי-וירוס וכלי זיהוי. סימנטק גם זיהתה כי מספר הפניות של המוטציה החדשה לדומיינים חיצוניים עלה מ-250 ביום ל-50,000. https://forums2.symantec.com/t5/Malicious-Code/W32-Downadup-C-Digs-in-Deeper/ba-p/393245#A249 .
  3. להערכת מומחים בתעשייה וריאציית ה- B של התולעת (Conficker.B++ ) יודעת ליצור על המחשב הנגוע גם  Named Pipe Server אשר משמש לתקשורת מול שרתים מרוחקים ולקבל עידכונים של רשימות URLs וגירסאות חדשות של התולעת. תכונה זו מחזקת את החשדות כי המחשבים הנגועים מיועדים לשמש כחלק מ-Bot-Army  עולמי גדול לצורך תקיפות ממוקדות של אתרים נבחרים (ע"י מפעילי התולעת).
  4. הערכת המומחים בתעשייה היא כי עד כה נפגעו בתולעת כ-20 מיליון מחשבים ולמרות שרמת הפעילות שלה קטנה ביחס לינואר עדיין היא ממשיכה לחיות ולשגשג ברשתות רבות.
  5. מייקרוסופט הכריזה על פרס בגובה $250,000 למוסר המידע שיעזור למצוא את הכותבים של התולעת.
  6. למעוניינים בניתוח מעמיק של התולעת – http://mtc.sri.com/Conficker / .
  
     
 
arrow אופן ההפצה
     
 

התולעת משתמשת ב-3 דרכים עיקריות בכדי להפיץ את עצמה:
-          ניצול פירצת האבטחה  MS08-067 של מיקרוסופט (אשר טלאי עבורה הופץ ע"י מיקרוסופט כבר ב-23.10.2008)–
 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
-          הדבקה דרך התקנים נתיקים דוגמת Disk-On-Key
-          פריצת סיסמאות  Administrator מקומיות והתחברות ל-Admin Shares
במקביל, מתקשר מחשב נגוע "הביתה" למספר גדול מאוד של כתובות אינטרנט חיצוניות (כ- 7750 )  בכדי להתעדכן בגירסאות חדשות וב"הוראות הפעלה". בלינק הבא תוכלו לראות את רשימת הכתובות המשמשות את התולעת נכון לשבוע שהחל ב-23.2.09 – מדובר על קרוב ל-46,000(!) כתובות –
http://www.renater.fr/IMG/txt/Conficker.2009-02-23-0854.Couple_IP-Domain.txt 

  
     
 
arrow  פוטנציאל הנזק
     
 

עד כה עיקר הנזק של התולעת היה בהפצתה ובהשבתה של רשתות מיחשוב. על פניו, נראה כי מטרתה הראשונית היתה להדביק כמה שיותר מחשבים, לאסוף נתונים ממחשבים נגועים ולייצר רשת גדולה  botnetאשר תהיה מוכנה לקריאה/לפעולה בכל רגע נתון. בעת קריאה, רשת שכזו יכולה לשלוח הודעות ספאם, לבצע התקפות  Denial of Service על אתרים, לייצר אתרי  Phishing ועוד. כמובן שפוטנציאל הנזק יכול להיות גם מחיקה של קבצים והשבתה של מחשבים/שרתים.

  
 
     
 
arrow פעולות מניעה מומלצות  
     
 
  1. התקנת טלאי אבטחת מידע – במיוחד את טלאי אבטחת המידע האחרונים ואת ה-067 המצויין לעיל במיוחד (שימו לב – לפני מספר ימים הוציאה מיקרוסופט טלאים קריטיים ל-Exchange...).
  2. ביטול אופציות ה- Autorun ו- Autoplay במערכות של מייקרוסופט. אך שימו לב: ארגון ה- US-CERT הוציא הודעה כי פעולת ביטול האופציות אינה באמת סוגרת את הפירצה (http://www.us-cert.gov/cas/techalerts/TA09-020A.html ). מייקרוסופט אכן אישרה את הבעיה והלינק הבא הוא ההמלצה של מייקרוסופט כיצד לסגור את הפירצה (http://support.microsoft.com/kb/953252 ).
  3. חסימת יציאות החוצה לאינטרנט של מחשבים הפונים לכתובות ברשימת התולעת ובמיוחד פניות בפורמט http://<ip-address>/search?q=<N> where <ip-address> .
  4. ניטור הרשת למעקב אחרי התעבורה וההתנהגויות עוזר מאוד לזהות פגיעה ולנטרלה לפני יצירת נזק מתמשך.
  5. ברמת המחשב הבודד (שמריץ  Windows כמובן ( מומלץ לוודא שקובץ ה- hosts שנמצא בתיקייה. c:\windows\system32\drivers\etc מכיל רק את השורה “127.0.0.1 localhost” . במידה ולא, שווה בדיקה יותר מעמיקה מדוע...! ייתכן והמחשב כבר נגוע.
 
 
     
 
arrow סיכום
     
 

לסיכום, עצם העובדה שהתולעת עדיין חיה ונושמת ולא חוסלה סופית (מאז השבוע האחרון של דצמבר) אומרת בעצם הכל. אם עד כה לא נפגעתם אזי ייתכן ואתם עושים את פעולות המניעה הנכונות וייתכן ואתם ברי מזל. בכל מקרה, המלצתינו, אל תשמחו על המזל תהיו פרו-אקטיביים.

נשמח לשמוע מכם תגובות, הערות והארות וגם ללמוד מנסיונות ההתמודדות שלכם עם איומי אבטחה שונים, תולעים ושאר מזיקים. כמובן שגם נשמח להשיב על כל שאלה ובאופן כללי לסייע בייעוץ והכוונה איפה שאפשר.

שתפו אותנו ואת הקולגות שלכם - אם יש לכם מידע נוסף שיכול לעזור לקולגות שלכם בארגונים אחרים, נא שילחו לנו את המידע כך שנוכל להעבירו באופן ענייני וחסוי. נא שילחו דוא"ק ל- alerts@ipvsecurity.com

להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן!

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.

  

 

 שיתוף מידע = יותר אבטחת מידע

שתפו אותנו בכל דבר בתחום אבטחת המידע - תובנות, אירועים, בדיחות, לינקים מעניינים ועוד.

שיתוף מידע = יותר אבטחת מידע

  
     
 
   
 
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2009) ©

תגובות (0)Add Comment

min/maxהצג/הסתר תגובות

הוסף תגובה

feedהצג/הסתר טופס תגובה

busy
 

מאמרים קשורים