Jump to content

Conficker. Η 1η Απριλίου πλησιάζει, να φοβάμαι?


Recommended Posts

Ο Conficker είναι μία από τις χειρότερες απειλές που έχουμε δει τον τελευταίο καιρό.

Η παραπάνω δήλωση πίστευα ότι θα έβρισκε σύμφωνους το 100% των IT pros. Στο τελευταίο event του autoexec όμως, διαπίστωσα πως τα πράγματα δεν είναι ακριβώς έτσι. Οι περισσότεροι από τους παρευρισκόμενους, δεν γνώριζαν ούτε τι είναι ο conficker. Και αυτό συνέβαινε διότι προέρχονταν από μικρά και μεσαία περιβάλλοντα, που τα  hotfixes και τα updates μπαίνουν αυτόματα και άμεσα, με αποτέλεσμα ο conficker να βρει πόρτες κλειστές.

Όμως όσοι είχαν επαφή με μεγάλους πελάτες με ανύπαρκτα ή δυσκίνητα patch management συστήματα ένιωσαν στο πετσί τους την αλήθεια της αρχικής μου δήλωσης, και διαβάζοντας διάφορα άρθρα τρέμουν στην ιδέα ότι η ημέρα γενεθλίων του conficker, η 1η Απριλίου πλησιάζει.

Οπότε έρχομαι να απαντήσω στο κρίσιμο ερώτημα ή μάλλον σε μια σειρά απο κρίσιμα ερωτήματα που αφορούν την 1η Απριλίου και τον Conficker

1. Τι θα συμβεί την 1η Απριλίου

Σύμφωνα με έγκυρη τεχνική ανάλυση που έχει κάνει η  MS, όσα συστήματα είναι μολυσμένα με τον Conficker, την 1η Απριλίου θα εκτελέσουν έναν αλγόριθμο αναζήτησης οδηγιών  με σκοπό να μάθουν με ποια domain θα επικοινωνήσουν

2. Θα βγει αναβαθμισμένη έκδοση του malware την ίδια μέρα που θα προσβάλει τα ήδη μολυσμένα μηχανήματα?

Υπάρχει αυτή η πιθανότητα, μέσω σύνδεσης με συγκεκριμένα domains. Αλλά κανείς δεν αποκλύει οτι αυτό δεν μπορεί να συμβεί οποτεδήποτε πριν ή μετά την πρωταπριλιά αφού ήδη τα μολυσμένα συστήματα επικοινωνούν με κάποια domain και ενημερώνονται.

 

3. Αν είμαστε απλοί οικιακοί χρήστες να πάρουμε τα βουνά και να κλείσουμε το ρεύμα την 1η Απριλίου

Αν έχετε στο pc σας το Microsoft Security Update MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) που έτσι κι αλλιώς έχει κατέβει αν παίρνετε αυτόματα τα MS Updates, δεν χρειάζεται να ανησυχείτε. Μια βόλτα στα βουνά όμως δεν έβλαψε ποτέ κανέναν, και το κατέβασμα του διακόπτη θα συντελέσει και στην εξοικονόμηση ενέργειας. Αν δεν έχετε ενεργοποιήσει τα αυτόματα updates και δεν έχετε antivirus  ούτε firewall, μην ανησυχείτε αφού έτσι κι αλλιώς κινδυνευετε απο τα πάντα, και ο προστάτης άγιος που σας έχει σώσει τόσο καιρό, μπορεί να το κάνει και με τον conficker

 

4. Εγώ που έχω  εταιρία να φροντίσω και τελικά ανησυχώ τι να κάνω?

Γενικά μείνετε συντονισμένοι ώστε να μαθένετε τα τελευταία νέα και ειδικότερα φροντίστε να εξασφαλίσετε τα παρακάτω:

 

·         Εγκατάσταση του MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) σε όλα τα Windows μηχανήματα του περιβάλλοντος σας.

·       Χρησιμοποιήστε  antivirus που τεκμηριωμένα βρίσκει τον Conficker. Αυτό το AV θα μπορεί να blockαρει το worm από το να αντιγράφεται σε άλλα μηχανήματα. (Τα περισσότερα επώνυμα AV και φυσικά το Microsoft Forefront Client Security και το Windows Live OneCare μπλοκάρουν με επιτυχία τον Ιό).

·         Χρησιμοποιείτε πολύ ισχυρά και πολύπλοκα passwords για όλους τους λογαριασμούς χρηστών. Το κενό password ΔΕΝ είναι ισχυρό !

·         Για ακόμα καλύτερα αποτελέσματα απενεργοποιήστε το  AutoRun από τα συστήματα σας ώστε κανένα πρόγραμμα να μην εκτελείται αυτόματα οταν μπαίνει στο pc σας. Αυτό γίνεται και με group polcy.

·        Τώρα είναι η στιγμή να εφαρμόσετε τα security best practices που αναβάλλατε τόσο καιρό και που γενικά συζητάμε εδώ. Εκείνος ο WSUS ο ριμάδης, ας μπεί τώρα, να μην πω δλδ για SCCM. Αν σας φαίνεται δύσκολο, θα σας στείλω φωτογραφίες μηχανικών που τον έστειναν εν το μέσω της νυχτός σε συστήματα 100% infected από τον conficker ανάμεσα σε λιπόθυμους managers που έβλεπαν το φάσμα της ανεργίας να πλησιάζει. Αλλάξτε το password του Admin, μην κάνετε όλους τους χρήστες Local Administrators (ναι, ούτε Domain Admins).

Τέλος δείτε και αυτό το post που αν και φαίνεται λίγο αυστηρό σώζει ζωές

 

Link to post
Share on other sites

Και όλα αυτά επειδή δεν έχει εγκατασταθεί το κατάλληλο update (δλδ επειδή δεν έχει εγκατασταθεί SCCM/WSUS)... Δε θέλω να φανταστώ τι θα γινόταν αν έβγαινε ένα τέτοιο malware και έπαιρνε κάτι μέρες στην MS να τον κάνει reverse-engineer και να βγάλι patch!

Link to post
Share on other sites

 

Μια βόλτα στα βουνά όμως δεν έβλαψε ποτέ κανέναν, και το κατέβασμα του διακόπτη θα συντελέσει και στην εξοικονόμηση ενέργειας. Αν δεν έχετε ενεργοποιήσει τα αυτόματα updates και δεν έχετε antivirus  ούτε firewall, μην ανησυχείτε αφού έτσι κι αλλιώς κινδυνευετε απο τα πάντα, και ο προστάτης άγιος που σας έχει σώσει τόσο καιρό, μπορεί να το κάνει και με τον conficker

 

 

Χαχαχαχα ..... πολύ καλο! [:D]

 

Link to post
Share on other sites

Οχι δεν φοβαμαι ...Εχοντας εδω & 5 χρονια WSUS (SUS παλιοτερα) & Symantec προστασια ..κοιμαμαι πιο ησυχος ...δεν ειμαι βλεπεις & τζογαδορος

Καλο Μηνα

 

Link to post
Share on other sites

Blackman: Hey my man...wassup? I was looking for you today? Weren't you supposed to "run" urself and bring doomsday?

Conficker: Yo hommie Blackie. Today it's Fool's Day... i made everyone believe that i will take over the world...fool's world.

Blackman: OK, i will let Kladakis know about that.

Conficker: Today it's fool's day...not tommorow... ;)

Blackman: ...

Link to post
Share on other sites

Οχι δεν φοβαμαι ...Εχοντας εδω & 5 χρονια WSUS (SUS παλιοτερα) & Symantec προστασια ..κοιμαμαι πιο ησυχος ...δεν ειμαι βλεπεις & τζογαδορος

Καλο Μηνα

 

 

Αυτό είναι το κλειδί της όλης υπόθεσης.

Βλέπω εγκαταστάσεις - που δυστυχώς δεν διαχειρίζομαι - να μην έχουν εγκατεστημένο WSUS και ούτε να παίρνουν αναβαθμίσεις (με αυθεντικά Windows) και απορώ...

 

Link to post
Share on other sites

Ξέρετε ότι μέσα σε όλα αυτά που κάνει ο conficker είναι να ψάχνει strings με βασικό σκοπό να σταματήσει τα antivirus για να μην το βρουν; Το ενδιαφέρον εδώ είναι ότι κλείνει και άλλα πράγματα πέραν αυτών καθώς στον κώδικα του ψάχνει για strings όπως: "wireshark," "confick," "downad," "ms08-06," και "kb958."

Link to post
Share on other sites
  • 3 weeks later...
×
×
  • Create New...