WORM_DOWNAD病毒是一种透过多种管道攻击其它计算机的病毒。当企业内部一旦感染这种复合型攻击的病毒时,若没有事先做好应对的措施,很容易因为资安环境有弱点而在短时间内造成严重的伤害,趋势科技工程师在这次处理WORM_DOWNAD病毒问题中发现了一般企业容易忽略到的一些资安弱点,藉由此篇技术通报来提醒信息人员应注意哪些地方,一旦落实资安政策便可降低病毒爆发的风险。
下图是WORM_DOWNAD的攻击行为示意图:
WORM_DOWNAD具有以下几种特性:
透过MS08-067的系统弱点攻击计算机
利用密码字典攻击法登入Admin$system32数据夹执行病毒档案,并在工作排程中新增工作项目产生病毒档案
在可携式磁盘驱动器与网络磁盘驱动器中产生病毒档案与Autorun.inf,可透过USB可携式装置感染其它系统
主动联机特定URL下载其它病毒档案
针对上述特性,趋势科技提供了以下几项建议:
未定期更新修正程序,生产线与OA区网络没有做实体切割
WORM_DOWNAD一开始出现的时候,是透过MS08-067的弱点攻击操作系统,由于该病毒出现时修正程序刚发布不久,许多企业还来不及更新操作系统。部份企业因生产线无法停摆,安装修正程序需要排程规划。一旦遇上攻击系统弱点的病毒,很容易就在短时间内就快速散播,唯有安装修正程序才能避免遭受病毒再次攻击。若无法在短时间内安装修正程序,请务必将生产线与OA区网络做实体切割,一般生产线的机器并不需要可以联机Internet,若没有将网络做实体切割,病毒很可能由OA区攻击生产线的计算机,严重时可能会瘫痪生产线造成企业很大的损失。
管理者账户密码没有定期更新,没有规定密码复杂度
趋势科技工程师在处理几家企业的病毒问题时,常发现明明这家公司都有更新了系统的修正程序,却仍然还有WORM_DOWNAD病毒在内部流窜,检查后才发现一般资安人员在为公司计算机安装系统时,大多使用Ghost等备份软件以便节省安装系统的时间,而使用者可用网域账户登入系统执行作业。该做法虽然省时省力,却忽略了本机的管理者账户密码未修改的风险。而后期的WORM_DOWNAD病毒,利用字典密码攻击法的方式,使用常见的密码清单尝试登入Admin$植入病毒档案并执行。所以就算系统已经安装了最新的修正程序,仍然会被植入病毒档案。因此,建议信息人员在安装系统后立即修改系统管理者的密码,且必须要有足够的复杂度,或是停用本机管理者账号。若用户使用网域账户登入系统,建议企业内部应制定策略定期更新使用者密码,避免病毒利用字典密码攻击法的方式散播病毒。
未建置HTTP网关端防毒,无法拦截特定档案类型
Web Threat已经是近几年来病毒散播的趋势,利用HTTP通讯协议下载恶意程序到计算机中,不易防堵。WORM_DOWNAD同样也会透过HTTP的方式下载其它恶意程序至受感染的计算机。但我们发现仍有少数企业未针对HTTP的通讯协议建置防毒。使得病毒容易透过网页的方式感染客户端,不只WORM_DOWNAD病毒,许多时下常见的特洛伊木马或后门程序也大多由HTTP而来,是最不容易防堵的一个感染来源。因此,我们建议企业应建置HTTP网关端防毒,除了控管使用者能存取的网页类型与过滤恶意网站外,最好能设定阻挡特定的档案类型,例如scr、pif、exe等执行文件,并使用True File Type扫描才能识别档案的真正类型。
开启防火墙,记录攻击来源
建议一般客户端可开启防火墙来阻挡这类型的网络型病毒,而且透过系统弱点攻击计算机的病毒大多会在防火墙留下记录,信息人员可根据防火墙的记录文件搜寻攻击来源的IP,一方面利用防火墙阻止病毒扩散,另一方面可迅速寻找感染病毒的来源客户端。
外来使用者或笔记型计算机用户没有适当的管理,资产管理并未完善
我们在碰到某些客户处理WORM_DOWNAD病毒问题时,虽然根据病毒纪录文件可以找到感染来源的IP,但少数企业因资产管理不够完善,可能会无法找到某些IP所对应的客户端是在哪里,所以无法彻底解决病毒问题。还有的信息人员认为已经设有防火墙,病毒到底是从何而来?等到找到感染来源时才发现,原来是笔记型计算机的使用者从外面把病毒带到企业里,或是使用者擅自使用3G网卡上网而下载到病毒档案。有些甚至是合作厂商来检测或维护设备时将自己携带的计算机接上公司网络,病毒就从这些地方扩散至整个网络。正因为这部份的使用者较难掌控计算机的状况,常常变成病毒爆发的感染来源,使信息人员疲于奔命。所以趋势科技建议信息人员可以针对外来使用者与笔记型计算机用户规划独立的网络区域,避免病毒藉由内部网络感染OA区的计算机。平时资产管理务必确实执行,了解公司内部计算机的IP信息,方便查阅,可迅速找出感染来源,以免延误时机造成难以收拾的状况。
部分客户端没有安装防毒软件
这样的问题其实是常常会发生的,有的也许是因为环境的限制或是操作系统太过老旧,无法安装防毒软件,当企业内部有病毒问题时才会发现原来仍有少数客户端是没有安装防毒软件,或是使用者任意卸载或停用防毒软件,造成资安环境产生弱点,若是使用趋势科技产品的客户,建议可定期使用TMVS扫描企业内部计算机是否均安装防毒软件,并从主控台设定防止用户卸载或移除防毒软件的权限。
控管USB装置,停用自动播放功能
USB装置的大量普及,成了病毒散播的管道之一,就算限制计算机不能连接Internet,透过USB装置病毒仍旧可以攻击其它计算机。WORM_DOWNAD感染计算机后会搜寻USB装置并植入autorun.inf与病毒档案,倘若使用者在中毒的计算机上使用USB装置,USB装置就会夹带病毒档案,只要将中了毒的USB装置拿到其它计算机使用,病毒就可藉此感染其它计算机。趋势科技建议信息人员应严格控管USB装置的使用,并建议停用USB装置自动播放功能,避免装置一插入系统中就自动执行病毒档案。如何停用USB装置请参考技术通报-USB病毒防治要点
分享数据夹没有做好权限控管
档案服务器通常是病毒大量扩散的一个关键点,因为档案服务器就是提供使用者分享数据与档案,一旦档案服务器感染病毒,只要使用者去存取档案服务器上的档案,病毒就会藉此感染自己的计算机。WORM_DOWNAD病毒会将病毒档案植入网络磁盘驱动器中,诱使使用者执行以便感染其它计算机。所以趋势科技建议您,若非必要,管理者应将分享数据夹设定为只读,或是针对使用者的性质给予不同的存取权限,可降低病毒利用分享数据夹散播病毒的风险。
WORM_DOWNAD病毒使用多种不同管道散播病毒档案,对企业资安环境造成莫大的冲击,趋势科技提供上述建议供信息人员参考,若您的企业曾经有过上述的情况,请根据内部的感染情况厘清企业潜藏的风险威胁,尽早订定或修改信息安全策略,避免再次因病毒爆发而让企业造成损失。
近期趋势科技发现了DOWNAD病毒的新变种 - WORM_DOWNAD.KK。该病毒一样透过MS08-067的弱点攻击计算机。与之前的DOWNAD病毒相比,WORM_DOWNAD.KK具有以下特性:
连接特定的时间服务器来确认目前的日期与时间,该病毒预计在4/1发作
删除特定登录值让使用者无法进入安全模式
不允许用户使用与信息安全相关的程序(包含procexp、regmon、autoruns、gmer等等工具)
封锁客户端连结与信息安全或防毒软件相关的网站
根据当前的时间一次产生五万个恶意程序网址并试图在同一时间内随机连结其中500个恶意网站下载病毒
网友评论