經過對Duqu病毒攻擊的持續調查,賽門鐵克已經確認,該病毒利用了微軟此前沒有發現的零日漏洞(Zero-day)來感染目標計算機。
攻擊者利用Windows系統的漏洞,通過一份惡意偽造的Word文檔,來安裝Duqu病毒文件。這種安裝方式是此前討論時沒有提及的。值得注意的是,這可能僅僅是諸多安裝Duqu病毒方法中的一種,攻擊者很可能利用其他方法感染不同組織的計算機。目前賽門鐵克已監測到來自法國、荷蘭、瑞士及印度等8個國家的6家組織受到該病毒感染。
此外,新的重要發現還包括:有跡象表明Duqu病毒接受到指令,在被感染的網絡上傳播;攻擊者能夠通過點對點(P2P)通信方法與未連接到互聯網但已感染Duqu病毒的計算機進行通信;而且,根據Duqu病毒的又一樣本,它能夠與第二命令控制服務器(C&C Server)進行通信。
除此之外,賽門鐵克與the Laboratory of Cryptography and System Security (CrySyS)還有一些其它的重要發現,詳情見賽門鐵克最新博客文章Symantec blog post賽門鐵克安全技術與響應中心還會持續密切關注Duqu病毒攻擊的發展,并及時向大家通報。
最佳實踐:
賽門鐵克建議企業和組織依據以下最佳實踐,以保護自身不受該網絡攻擊的侵害:
·不要打開未知的附件;
·采用數據泄露防護技術防止機密信息丟失,同時監測可疑的網絡接入;
·確保您的端點安全防護產品更新到最新版本;
·使用終端設備控制,以防止未經授權的移動設備接入網絡;
·通過鎖定或硬化含有核心知識產權的服務器,以防止如Duqu這樣未經授權的應用入侵或滲透進企業網絡中;
·要求您的安全信息和事件管理系統SIEM提供商以及可管理的安全服務MSS提供商找出指向命令和控制服務器(C&C servers)IP地址的通訊活動,并阻止這些通訊地進行;
·賽門鐵克支持保護私有源碼簽名密鑰的最佳實踐,我們建議企業對其私有密鑰進行適當的保護,具體措施包括:
ü分隔驗證簽名并發布簽名 -通過使用由內部根驗證證書授權產生的驗證證書,設置相對應的源碼簽名架構。這樣可以確保用于簽署官方軟件的私有關鍵業務證書能夠存儲在用于常規研發工作的安全的系統中,降低被侵害的可能性;
ü密碼保護的硬件模塊 - 將密鑰存儲在通用型計算機的軟件中,有可能面臨安全風險。因此,將密鑰儲存在具有安全的、具備防篡改功能的,并且設有密碼保護的硬件設備中,是一種更加安全且實用的手段;
ü物理安全防護措施 - 沒有物理安全防護,就談不上真正的安全。如果外來者或者惡意攻擊制造者能獲取到企業的源碼簽名密鑰,所有的密碼保護措施將形同虛設。攝像頭、警衛、指紋識別掃描等附加措施對于保護核心資產至關重要,企業必須格外重視。
京公網安備 11010502049343號