23 元月, 2009 08:31
推文( 0 )
如果因為你選了 ”123456” 作為所有電腦與共用資料夾的預設密碼,而導致公司所有電腦都中毒了,要向老闆說明這件事可是很難開口的。有這麼嚴重嗎?值此經濟大衰退之際,每個人都應該避免犯了傻瓜密碼這個容易避免的錯誤:
傻瓜安全守則 - 如何避免遭 Conficker/WORM_DOWNAD 感染
Security Policy for Dummies - how to avoid WORM_DOWNAD infection
by Robert McArdle (TrendLabs Threats Analyst)
不少資安網站與新聞媒體均曾報導在過去幾週極為盛行的 WORM_DOWNAD.AD 蠕蟲。這隻蠕蟲似乎相當忙碌,感染了數量相當龐大的電腦。這隻害蟲耐人尋味之處不僅在於它所感染的電腦數量 (有人估計遭感染的電腦超過 8 千萬台),此外它的散播技巧也相當奇特 - 特別針對不健全的企業資安政策所設計的 3 重攻擊策略。
首先,WORM_DOWNAD.AD 會針對最近發現的 Microsoft Server Service 安全弱點,傳送弱點攻擊封包給網路上的每一台機器,以及網際網路上隨機選擇的幾個目標。這個安全弱點可以讓遠端的攻擊者任意執行各種程式碼,而且幾乎 Windows 2000 以後的每一個 Windows 版本都可能受影響。
接下來,WORM_DOWNAD.AD/Conficker 會在所有可用的卸除式與網路磁碟機上的 Recycler 資料夾 (資源回收桶) 中植入蠕蟲的複本。然後這隻蠕蟲會在這些磁碟機上建立一個內容經過混淆處理的 Autorun.inf 檔案,使用者只要瀏覽網路資料夾或卸除式磁碟機,便會觸動這隻蠕蟲 (使用者完全不必按下這個檔案)。使用者有時可在 Windows 檔案總管中發現感染徵兆,卸除式磁碟機會顯示資料夾圖示,而不是一般常見的磁碟機圖示。
接下來好戲才要上場 - 首先它會搜尋網路上所有的伺服器,然後再依據這些資訊產生一份這些電腦的使用者帳號清單。最後,它會使用一份預先定義的密碼清單,針對這些帳號進行字典式攻擊 (請參閱此處的詳細說明)。成功破解密碼之後 (令人驚訝的是,大多數使用者的密碼都輕易就被破解),它會將自己植入到使用者的系統中,並利用排程工作,即所謂的 AT 工作,來執行這隻蠕蟲。
為何這隻蠕蟲如此成功?答案很簡單 - 企業的資安政策不夠健全。
第一種散播技巧實際上是針對不完善的修補程式管理所設計。這個安全弱點的修補程式在去年底便已發佈,但仍有一些系統管理員 (或資安管理人員) 並未全面部署到網路上所有的電腦中。
請記住,即使只有一台電腦的安全弱點未修補,就足以導致這隻蠕蟲擴散至整個網路上。修補管理是今日所有 IT 部門作業中極為重要的一環,修補程式發佈之後,務必要迅速部署至公司所有電腦中,包括筆記型電腦與行動裝置在內。此外,企業應針對可存取其網路的外部組織 (如合作的公司、外包商等等) 的修補程式安裝情形,訂定明確的政策。就像資訊安全的許多層面一樣,只要一個漏洞就可能導致整個網路受影響。
自動執行 (Autorun) 惡意程式在過去六個月內持續造成嚴重危害,而事實上,這根本不是個問題。趕快拿起紙跟筆。準備好了嗎?很好,現在請在 30 秒內寫下一個理由,說明為何您公司需要讓所有卸除式磁碟機與網路共用資料夾具備瀏覽內容即自動執行程式碼的功能。慢慢想,我會等您寫出來… 想不出任何理由吧? 接下來,讓我告訴下一個步驟,幫您省一些麻煩 - 如何關閉自動執行功能 (請參閱此處的詳細說明)。
最後,讓我們回到一個老問題 - 使用不安全的密碼。光是如何要求使用者使用安全的密碼這個主題,就能夠寫出一本書 (事實上已經有人這樣做了),但是為了幫您在經濟不景氣時節省辛苦賺來的錢,我們特地在電腦安全守則中納入了這部分的說明。請抽空閱讀這些說明。畢竟,如果因為你選了 ”123456” 作為所有電腦與共用資料夾的預設密碼,而導致公司所有電腦都中毒了,要向老闆說明這件事可是很難開口的。
引述運動員 Roy Keane 的一句話 -「若未能做好準備,只有等著失敗吧」。@除舊佈新大掃毒
@欲第一手取得中英文版最新網路安全資安訊息,請找崔嘻一起噗浪
@瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2010
@欲瞭解趨勢科技 TrendMicro 主動式雲端截毒服務 SPN( Smart Protection Network)的效能,請上趨勢科技 相關中文網站。
@免費掃毒工具
iClean 解毒快手懷疑中毒嗎?解毒我最快
WTP Add On 零干擾 免費拆除黑心連結
