2012年3月27日
与震网病毒不同的是,Duqu病毒更像是间谍而不是破坏者,但两者之间似乎存在某种联系。Duqu打开了一个后门,使攻击者能够将其他程序加载到系统中。一种感染途径是通过包含“零日”漏洞的电子邮件发送Word文档。术语“利用”指的是代码中的漏洞,即错误处理例程无法覆盖的编程错误或状态,例如,允许内部缓冲区溢出,覆盖内存的其他区域。例如,当这种漏洞可以被用来禁用现有的安全屏障或将秘密指令偷运到程序中时,这种漏洞就会被利用。Duqu使用的零日漏洞利用了处理文档中嵌入字体的漏洞。有关这方面的更多信息可从微软获得。(http://technet.microsoft.com/en-us/security/advisory/2639658)这种类型的恶意软件由一个或多个命令与控制服务器(c&c)控制。Duqu通过不允许新感染的计算机直接与C&C服务器通信来掩饰它的C&C服务器,而是只能通过其他已经感染的计算机间接地与它们通信。根据这份详细报告和计算机安全软件公司赛门铁克(Symantec)的分析,Duqu病毒可以追溯到印度、比利时和越南的C&C服务器。为了避免引起别人的注意,Duqu也会在30天后停用。它与震网(Stuxnet)有一个共同之处:不引人注意是最重要的。这需要非常高级的编码。至于其他“关系”,在Windows内核驱动程序中似乎有非常相似的攻击机制,引入和传播恶意代码,包括用于签名驱动程序的联合证书。目前还不能证明或否定实际上正在使用公共源,但架构肯定非常相似。另一方面,“有效载荷”——一旦感染就会执行的代码——是非常不同的。走后门Duqu在受感染的计算机上安装后门,可用于加载和执行系统上的其他程序。2011年10月18日,它在受感染的系统上加载了一个程序,该程序系统地收集信息,并将这些信息传递给C&C服务器:运行进程列表、驱动器名称和共享选项、屏幕截图、路由等网络数据。在一台被duqu感染的计算机上发现的类似程序也能够记录击键。以这种方式收集的信息实际上可能被用于准备和发起与Stuxnet相同的有针对性的攻击。Duqu似乎不会对机器、设备、自动化系统和其他工业或嵌入式计算机构成直接威胁。除了微软之外,现在还有一些供应商从事检测、分析和对抗电脑感染的工作。也有识别和消除漏洞的既定程序。负责电脑操作的人员要谨慎,定期更新,操作杀毒软件和防火墙,认真做好配置和维护工作。一般来说,自动化产品和嵌入式计算机的制造商确实认识到他们的责任,并正在努力提高其必威官方登陆产品的稳健性和对计算机攻击的免疫力。然而,用户只是慢慢开始认识到风险,这是需要采取的第一步。虽然现有的安全功能可能远远不够,但往往连这些功能都不使用。所有网络组件都应该正确配置,然后进行监控,以便使用灵活而强大的网络管理工具获得最佳效果,该工具还可以用于记录更改和故障。一旦采取了这些最初的步骤,下一步就是建立防火墙来遏制恶意软件的渗透,特别是恶意软件的传播。这不仅包括从外部监控网关,还包括对互联网或其他网络的所有访问,换句话说,使用防火墙来创建水平分割。在这里,防火墙分隔了各个网段。它们的运作就像船上的舱壁:如果恶意软件确实进入了任何地方,它都不应该被允许离开这个部分。这一概念被称为“纵深防御”,在ISA-99和IEC62443标准中有更详细的规定。工业应用的优势通常是所使用的协议是众所周知的,很少改变。这使得防火墙能够专门针对这些协议,如果它们能够执行深层数据包检查,它们就可以特别好地做到这一点。这意味着他们可以查看数据包的内容,甚至熟悉它们的结构,特别是对于工业协议。计算机恶意软件对工业系统的威胁是真实存在的,应该认真对待。系统地计划和实现健壮的体系结构,并保持良好的风险意识警惕性是很重要的。
打印本页|通过电子邮件发送本页
这不是付费墙。这是免费的。我们不想妨碍你来这里的目的,所以这只需要几秒钟。
现在注册