بایگانی ماهیانه: آبان ۱۳۹۰

قوی ترین صداهای امنیت اطلاعات

مطالعه ای نسبتاً جدید توسط sys-con.com با عنوان Most Powerful Voices in Security انجام شده که در آن به تأثیر گذارترین افراد در حوزه امنیت اطلاعات اشاره شده است. صرفنظر از نحوه تهیه این لیست که خودنکات جالبی دارد، در بخش پرمخاطب ترین ترین مدیران اجرایی، نام Eugene Kaspersky مدیر کمپانی کسپرسکی و در بخش وبلاگ ها، Bruce Schneier و در بخش مدیران اجرایی امنیت، Richard Bejlitch به چشم می خورد.

اشتراک گذاری

آموخته هایی از ویروس Duqu

ویروس Duqu که اخیراً در اینترنت منتشر شده به هکر امکان اجرای کد از راه دور روی سیستم قربانی را می دهد. هکرها میتوانند از راه دور، دستور گسترش ویروس به دیگر سیستم ها از طریق SMB (فولدرهای Share شده ) را هم بدهند. اگر کامپیوتر آلوده شده خود به اینترنت متصل نباشد، با استفاده از پروتکل خاصی با کامپیوتر آلوده دیگری که به اینترنت وصل است مرتبط شده و از آن به عنوان واسطه ارتباط با اینترنت استفاده می کند!

استفاده این ویروس از SMB سیستم های ویندوزی برای انتشار و نیز استفاده از کامپیوترهای واسطه برای اتصال به اینترنت و ارتباط با سرور هکرها، دو نکته جالبی هستند که اهمیت یکسری اصول و Best Practice ها را یادآوری می کنند:

۱- لزوم رعایت اصل حداقل دسترسی در پیکربندی فایروال و ناحیه بندی میان سرورها

۲- عدم استفاده از امکان اشتراک فایل به صورت توزیع شده و غیرمتمرکز به خصوص در محیط های ویندوزی 

۳- لزوم مانیتور کردن کلیه ارتباطات میان سرورها با یکدیگر و با کلاینت ها

برخلاف تصور رایج در اغلب سازمان ها، عدم اتصال سرور به اینترنت هیچ تضمینی برای امن بودن آن به همراه نمی آورد.

خلاصه نتایج بررسی بدافزار Duqu از اینجا:

  1. We only have recorded incidents in Sudan and Iran;
  2. We have no information linking the victims to Iran’s nuclear program, CAs or specific industries;
  3. It is obvious that every single Duqu incident is unique with its own unique files using different names and checksums;
  4. Duqu is used for targeted attacks with carefully selected victims (The term APT has been used to describe this, but I don’t like this expression and prefer not to use it);
  5. We know that there are at least 13 different driver files (and we have only 6 of them);
  6. We haven’t found any ‘keylogger’ module usage. Either it has never been used in this particular set of incidents, or it has been encrypted, or it has been deleted from the systems;
  7. Analysis of driver igdkmd16b.sys shows that there is a new encryption key, which means that existing detection methods of known PNF files (main DLL) are useless. It is obvious that the DLL is differently encoded in every single attack. Existing detection methods from the majority of AV vendors are able to successfully detect Duqu drivers. But it is almost 100% certain that the main DLL component (PNF) will go undetected.
  8. Duqu is a multifunctional framework which is able to work with any number of any modules. Duqu is highly customizable and universal;
  9. The main library (PNF) is able (export 5) to fully reconfigure and reinstall the package. It is able to install drivers and create additional components, record everything in the registry, etc. It means that if there is a connection to active the C&C and commands, then Duqu’s infrastructure on a particular system might be changed completely;
  10. Duqu’s authors were able to install updated modules on infected systems just before the information about this malware was published because we continue to discover new Duqu drivers created on October 17, 2011. We cannot rule out the possibility that they were able to change the C&C;
  11. We cannot rule out that the known C&C in India was used only in the first known incident (see original report from Crysys Lab) and that there are unique C&Cs for every single target, including targets found by us;
  12. Reports that Duqu works on infected systems for only for 36 days are not entirely correct. Even this data point is customized: only jminet7.sys/netp191.pnf uses its 36-day counter. The set of modules cmi4432.sys/cmi4432.pnf will remove itself after 30 days.

 

اشتراک گذاری