Conficker nắm giữ các bài học cho các hãng an ninh

Published: 2009-04-24

Theo: http://www.securityfocus.com/brief/952

Bài được đưa lên Internet ngày: 24/04/2009

Lời người dịch: Cho tới bây giờ, Conficker, một sâu của Windows nguy hiểm, đã trở nên nguy hiểm hơn nhiều so với trước đó, dù nhóm làm việc về Conficker với hơn 300 chuyên gia an ninh đang cố tìm cách làm cùn ảnh hưởng của nó. “Phiên bản mới nhất của Conficker cũng sử dụng một sự lực chọn rộng lớn các công nghệ chống an ninh. Chương trình độc hại này nguỵ trang cho sự hiện diện của nó khỏi người sử dụng, ngăn trở máy tính khỏi việc đi tới hơn 100 sites an ninh và bản vá, tạo ra một quá trình ám sát mà nó giết chết hầu hết 2 tá các chương trình an ninh và cập nhật khác nhau, và cấu hình lại tường lửa của Microsoft để cho phép nó sử dụng các cổng chủ chốt. Không có lý do để các tác giả của Conficker không muốn tiếp tục bổ sung vào bộ công cụ của họ các công nghệ chống an ninh, Porras nói. “Khi những người tồi tệ xây dựng thư viện này để thoát khỏi và ám sát công nghệ bảo vệ, (thì câu hỏi là) dạng công nghệ gì Microsoft và các công ty khác phải đặt vào để tạo ra an ninh không thể bị giết chết”, ông nói”.

San Francisco – Với sâu Conficker vẫn còn vặn vẹo trên toàn thế giới, các nhà cung cấp hệ điều hành và các hãng an ninh phải tìm kiếm các bài học trong sự thành công của chương trình độc hại này, đặc biệt khả năng của nó để tấn công những cơ chế nâng cấp được sử dụng bởi Windows và các phần mềm an ninh trong khi cùng một lúc sống sót qua được các nỗ lực loại bỏ, 2 nhà nghiên cứu tại Hội nghị An ninh của Bộ An ninh Quốc nội Mỹ RSA.

Conficker có một danh sách dài các kỹ thuật để ngăn cản các hệ điều hành trong việc cập nhật và dừng các phần mềm an ninh khỏi việc loại bỏ chương trình này, Phil Porras, giám đốc của nghiên cứu về an ninh hệ thống tại SRI International, đã nói trong một bài trình bày hôm thứ sáu. Các nhà sản xuất phần mềm cũng cần bắt đầu việc trang bị tốt hơn cho các chương trình của riêng họ, ông nói.

“An ninh bảo vệ không chỉ phải có trong các máy chủ và việc bảo vệ các hệ thống... mà bản thân chúng còn phải bảo vệ tốt hơn đối với các cuộc tấn công”, Porras nói.

Đầu tháng này, sâu Conficker đã hoàn tất bản cập nhật mới nhất của nó, và các máy tính cá nhân PC bị lây nhiễm đã bắt đầu tải về các lệnh mới để sửa đổi cách mà chương trình này hoạt động. Những sửa đổi mới nhất đối với chương trình này – cũng được tham chiếu tới như Downad, Downadup và Kido bởi các công ty an ninh khác nhau – đã khôi phục lại được khả năng của sâu này lan toả sử dụng một sai lầm trong Microsoft Windows và định tuyến lại hầu hết các giao tiếp truyền thông thông qua mạng điểm – điểm của chương trình này, các nhà nghiên cứu nói.

Phiên bản mới nhất của Conficker cũng sử dụng một sự lực chọn rộng lớn các công nghệ chống an ninh. Chương trình độc hại này nguỵ trang cho sự hiện diện của nó khỏi người sử dụng, ngăn trở máy tính khỏi việc đi tới hơn 100 sites an ninh và bản vá, tạo ra một quá trình ám sát mà nó giết chết hầu hết 2 tá các chương trình an ninh và cập nhật khác nhau, và cấu hình lại tường lửa của Microsoft để cho phép nó sử dụng các cổng chủ chốt. Không có lý do để các tác giả của Conficker không muốn tiếp tục bổ sung vào bộ công cụ của họ các công nghệ chống an ninh, Porras nói.

“Khi những người tồi tệ xây dựng thư viện này để thoát khỏi và ám sát công nghệ bảo vệ, (thì câu hỏi là) dạng công nghệ gì Microsoft và các công ty khác phải đặt vào để tạo ra an ninh không thể bị giết chết”, ông nói.

SAN FRANCISCO — With the Conficker worm still squirming worldwide, operating system vendors and security firms should search for lessons in the success of the malicious program, especially its ability to attack the up-date mechanisms used by Windows and security software while at the same time surviving removal efforts, said two researchers at the RSA Security Conference.

Conficker has a long list of techniques for preventing operating systems f-rom updating and stopping security software f-rom removing the program, Phil Porras, director of the systems security research at SRI International, said during a presentation on Friday. Software makers need to start better hardening their own programs as well, he said.

"Security defencses not only have to be inside the hosts and defending the systems ... but they have to better defend themselves f-rom attack," Porras said.

Earlier this month, the Conficker worm completed its latest up-date, and infected PCs began downloading new commands to modify how the program functions. The latest modifications to the program — also referred to as Downad, Downadup and Kido by different security companies — reactivated the worm's ability to spread using a flaw in Microsoft Windows and redirected most communications through the program's peer-to-peer network, researchers said.

The latest version of Conficker also employs a broad se-lection of anti-security technologies. The malicious program cloaks its presence f-rom the user, prevents the computer f-rom going to more than 100 security and patch sites, cre-ates an assassin process that kills almost two dozen different security and up-date programs, and reconfigures the Microsoft firewall to allow it to use key ports. There is no reason the authors of Conficker would not continue to add to their tool kit of anti-security technologies, Porras said.

"As bad guys build this library to go off and assassinate the defensive technology, (the question is) what sort of technology should Microsoft and other companies put in to make unkillable security," he said.

Trong một cuộc phỏng vấn sau bài trình bày, nhà nghiên cứu về an ninh Joe Stewart đã đồng ý. Ông đã gợi ý rằng các công ty phần mềm có thể học để làm cho các bản cập nhật của họ cứng rắn hơn để dừng bằng việc sử dụng mạng điểm – điểm theo y hệt cái cách mà Conficker đã sử dụng các kết nối điểm – điểm để tự cập nhật khi mà Nhóm Làm việc về Conficker – một nhóm hơn 300 nhà nghiên cứu của giới công nghiệp có ý định làm cùn ảnh hưởng của sâu này – truy cập được khoá đối với các điểm gặp gỡ trên Internet.

“Chúng đã áp dụng một số các chiến thuật của chúng ta”, Stewart nói, người làm việc cho hãng an ninh SecureWorks.

“Có thể chúng ta phải áp dụng một số chiến thuật của họ”.

In an interview following the presentation, security researcher Joe Stewart agreed. He suggested that software companies could learn to make their up-dates harder to stop by using peer-to-peer networking in the same way that Conficker used peer-to-peer links to up-date itself when the Conficker Working Group — a group of more than 300 industry researchers attempting to blunt the impact of the worm — blocked access to the Internet rendezvous points.

"They adapted some of our tactics," said Stewart, who works for security firm SecureWorks. "Maybe we have to adopt some of their tactics."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com