Trang chủ :: Conflicker.C - Những cảnh báo và những con số thật sự

                                 http://misoft.com.vn/cpst2010/CPST_Web-banner.gif

Đăng Tháng 4 9th, 2009 bởi administrator

 

Conflicker.C - Những cảnh báo và những con số thật sự

Những cảnh báo và sự chờ đợi về một đợt bùng nổ của sâu Conflicker vào ngày 1/4 đã qua đi (không có đợt bùng nổ nào), giờ là thời gian để tất cả chúng ta nhìn lại xem thực sự đã có bao nhiêu nạn nhân của loại sâu nguy hiểm này.

Đã có rất nhiều bài báo phân tích, đánh giá lại sự nguy hiểm của sâu Conflicker cũng như đánh giá các công ty cung cấp giải pháp an ninh mạng trong khả năng theo dõi, nghiên cứu quá trình phát triển và ảnh hưởng của sâu conflicker. Như chúng ta đã thấy, rất nhiều các bài báo trên các tạp chí uy tín như New York Times, Washington Post, CNET, ComputerworldSC Magazine đều trích dẫn các thông tin của đội nghiên cứu an ninh X-Force (IBM ISS) khi đưa tin về quá trình lan truyền và ảnh hưởng của sâu Conflicker.C trên toàn thế giới:

Hình 1 Ảnh hưởng của sâu Conficker theo vị trí địa lý Số liệu X-Force cung cấp ngày 30/3/2009

Các báo đều đánh giá cao đội nghiên cứu an ninh X-Force của IBM ISS, xác nhận X-Force chính là đơn vị theo dõi sát sao và chính xác nhất quá trình lây lan của sâu Conflicker. Các bài báo này cũng đã xác nhận khả năng cung cấp các giải pháp an ninh để bảo vệ cho khách hàng sử dụng các sản phẩm của IBM ISS trước các nguy cơ bị sâu tấn công.

  • Các chuyên viên của IBM ISS X-Force cho biết họ đã tìm được cách giải mã việc mã hoá nhằm che dấu các dữ liệu được chia sẻ thông qua các phần mềm peer-to-peer trên tất cả các hệ thống nhiễm Conficker.C. Kết quả, ISS đã vẽ được bản đồ các vùng bị lây nhiễm trên toàn cầu. – Washington Post Asia, Europe, S. America Biggest Conficker Targets http://voices.washingtonpost.com/securityfix/2009/03/asia_europe_s_america_biggest.html)

  • IBM cho biết Mark Yason, một chuyên viên của X-Force, đã giải mã thành công giao thức truyền tin bên trong Conflicker. Việc giải mã này giúp cho đội nghiên cứu an ninh X-Force phát hiện và ngăn chặn sự hoạt động của các chương trình dễ dàng hơn. - New York Times (Researchers Unsure on Virus Status - March 31, 2009
    http://www.nytimes.com/2009/04/01/technology/internet/01virus.html?hp )

  • Stewart, một chuyên viên của X-Force, cho biết X-Force đã có một cách tiếp cận hoàn toàn passive và không cần sử dụng một chương trình dò quét nào để phát hiện Conflicker.C. Qúa trình này không được công bố rộng rãi, mà thay vào đó giải pháp phòng chống đã được tích hợp vào trong thiết bị phòng chống xâm nhập của IBM ISS… - Computerworld Computerworld (Conficker.c infects small number of U.S. PCs, IBM says
    Asia, Europe account for 76% of all Conficker.c infections, but worm's P2P chatter climbs as April 1nears,http://www.computerworld.com/action/article.do?

    command=viewArticleBasic&taxonomyName=cybercrime_and_hacking

    &articleId=9130823&taxonomyId=82&intsrc=kc_top)

  • Người phát ngôn của IBM đã công khai trong một cuộc phỏng vấn với Forbes Monday rằng bộ phận nghiên cứu an ninh X-Force đã tìm được giải pháp từ tuần trước.. – Forbes (Conficker's Viral Marketing Campaign, 03.31.09,http://www.forbes.com/2009/03/31/conficker-security-internet-technology-security-conficker.html)

  • Thứ 5 tuần trước, Big Blue (IBM) đã bắt đầu điều chỉnh lại các thiết bị phát hiện xâm nhập được 3800 tổ chức tại 170 quốc gia sử dụng. Đây là các khách hàng đã đăng ký sử dụng dịch vụ quản lý an ninh MMS (Managed Security Services) của IBM ISS. IBM đã bắt đầu dò quét Conficker P2P và chỉ tìm thấy duy nhất một trường hợp bị lây nhiễm trong hệ thống mạng của khách hàng. – The Last Watchdog.com

  • [Conficker] là một thử thách thực sự đối với hoạt động quản trị mạng của tổ chức,” Tom Cross, giám đốc bộ phận nghiên cứu an ninh X-Force nhận xét. “Những hệ thống mạng được quản lý tốt đã không bị ảnh hưởng, nhưng nếu có bất cứ một thành phần nào trong hệ thống an toàn thông tin như: hệ thống quản lý tài nguyên, hệ thống cập nhật Windows, hệ thống phòng chống xâm nhập, hệ thống anti-virus, hệ thống quản lý chia sẻ tệp tin, các chính sách về mật khẩu mạnh hoạt động không hiệu quả chúng ta sẽ gặp vấn đề với Conficker” – eWeek (Final Thoughts on the Conficker Worm's Security Impact as April 1 Nears,2009-03-31,http://www.eweek.com/c/a/Security/Final-Thoughts-on-Conficker-Worms-

    Impact-on-Security-as-April-1-Nears-451801/)

     

Phần sau sẽ cho chúng ta biết cụ thể X-Force đã tiến hành theo dõi và nghiên cứu quá trình lây lan của Conficker.C như thế nào?

Qúa trình phát hiện, theo dõi và phân tích Conficker.C được thực hiện theo thời gian:

  • Thứ Tư, ngày 18/3: Mark Yason, một chuyên viên của X-Force bắt đầu phân tích mẫu Conficker.C

  • Thứ 6, ngày 20/3: Việc phân tích toàn bộ, trừ phân tích giao thức, đối với Conficker.C đã hoàn tất. Mark bắt đầu nghiên cứu các thành phần của giao thức

  • Thứ Ba, ngày 24/3: Mark chuyển giao các kết quả nghiên cứu cho bộ phận tạo bản cập nhật an ninh cho các sản phẩm IPS của IBM ISS

  • Thứ Năm, ngày 26/3: Các bản cập nhật beta đã được đẩy xuông các khách hàng sử dụng dịch vụ MSS. Số lượng địa chỉ IP bị lây nhiễm tăng mạnh mẽ, thúc ép X-Force phải nhanh chóng đưa ra các bản cập nhật an ninh cho tất cả các khách hàng

  • Thứ 6, 27/3: Các gói cập nhật an ninh đã được chuyển cho tất cả các khách hàng. X-Force giám sát tình trạng của hệ thống vào ngày cuối tuần và tuần tiếp theo.

Từ khi có các bản cập nhật an ninh bảo vệ các khách hàng sử dụng sản phẩm và dịch vụ của IBM ISS trước các tấn công của sâu Conficker.C và theo dõi các botnet tấn công vào các hệ thống đã được bảo vệ này, X-Force đã tiếp tục theo dõi và thông kê tình hình lây lan của sâu này trên toàn thế giới.

  • Ngày 30/3/2009: Châu Á vẫn là vùng bị ảnh hưởng nặng nề nhất, chiếm gần 45% trên tổng số địa chỉ IP bị nhiễm, tiếp theo đó là châu Âu (31%)

Hình 2 Thống kê tình hình bị nhiễm Conflicker.C trên thế giới ngày 30/3/2009

  • Thứ Tư, 1/4/2009

Hình 3 Thống kê tình hình bị nhiễm Conflicker.C trên thế giới ngày 1/4/2009

 

Hình 4 Ngày 1/4/2009: Các nước bị nhiễm Conflicker.C nhiều nhất

Như vậy, cho đến hết ngày 1/4/2009, đã không có một đợt tấn công bùng nổ của sâu Conflicker.C như rất nhiều chuyên gia an ninh mạng đã cảnh báo. Tuy nhiên đó cũng là lời cảnh báo đến tất cả người dùng cũng như các công ty cung cấp giải pháp an ninh mạng phải luôn luôn cảnh giác bởi chúng ta sẽ không biết liệu sẽ có một đợt tấn công thực sự của Conflicker.D, E,F .. nào đó sẽ xảy ra trong tương lai.

Mọi thông tin chi tiết về chủ đề này mời quý vị tham khảo tại http://blogs.iss.net/http://iss.net/threats/conficker.html

 

Phản hồi

Nội dung của trường dữ liệu này được giữ kín và sẽ không được hiển thị công khai.
CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Image CAPTCHA
Copy the characters (respecting upper/lower case) from the image.


 Back to top