FőoldalÜzletA Duqu egy új nulladik napi biztonsági résen keresztül támad
2011. november 04., péntek ::

A Duqu egy új nulladik napi biztonsági résen keresztül támad

Néhány hete a Symantec megerősítette, hogy a Duqu egy közel azonos fenyegetés a Stuxnet-tel, de teljesen más céllal jött létre. A Duqu célja, hogy intelligens adatokat és eszközöket gyűjtsön olyan szervezetektől, mint például az ipari létesítmények (többek közöt nem az ipari szektorból is) annak érdekében, hogy megkönnyítsen egy jövőbeli támadás levezetését egy harmadik fél ellen

A támadók olyan információkat keresnek, mint például a tervezési dokumentumok, amelyek segítik őket egy támadás megtervezésében különböző iparágakban, beleértve az ipari ellenőrző létesítményeket.

A CrySys felfedezte az eredeti Duqu binárisokat és azóta meghatározták a Duqu továbbterjedési kódját. Egyenlőre még nem sikerült feltárni, hogy hogyan fertőzték meg a rendszereket, de sikerült megállapítani a támadás kirobbanását a CrySys csapatának kiváló munkájának köszönhetően.
A telepítő fájl egy Microsoft Word dokumentum (DOC), amely egy korábban ismeretlen kernel sebezhetőséget használ ki, amely lehetővé teszi a kódfuttatást. A Symantec felvette a kapcsolatot a Microsoft-tal a sebezhetőséggel kapcsolatban, így a szervezet jelenleg is dolgozik a javításon.

A felfedezés óta a csapat a következő új fejleményeket leplezte le:

  • Egy javítatlan nulladik napi biztonsági rést kihasználva egy Microsoft Word dokumentumon keresztül telepítik a Duqu-t
  • A támadók el tudják rejteni a Duqu-t számítógépes rendszerek biztonsági zónáiban, és irányítani tudják ezeket egyenrangú hálózatként (peer-to-peer) működő irányító (command-and-control) protokollon keresztül
  • Hat szervezet számolt be fertőzésekről nyolc országban (Franciaország, Hollandia, Svájc, Ukrajna, India, Irán, Szudán és Vietnám)
  • Egy új command-and-control irányító szervert fedeztek fel Belgiumban (77.241.93.160), és leállították

A Symantec STAR szervezete (Security Technology and Response) továbbra is vizsgálja a Duqu fenyegetést, és további frissítésekkel szolgál, amint azok a rendelkezésre állnak.

A szervezetek, valamint a magánszemélyek részére Gombás László, a Symantec magyarországi szakértője a következőket javasolja, hogy megelőzzék magukat a támadástól:

  • Ne nyisson meg kéretlen csatolmányokat
  • Használjon adatvesztés elleni védelmet, hogy megelőzze a bizalmas adatok elvesztését és figyelje a nem megfelelő hozzáférést
  • Ügyeljen arra, hogy a végpontvédelmi biztonsági termékek mindig frissítve legyenek
  • Használjon eszközfelügyeletet (device controll), hogy megakadályozza a cserélhető eszközök jogosulatlan használatát a hálózaton belül
  • Vizsgálja felül a kritikus rendszerek beállítását és védje azokat az adatokat, amelyek kulcsfontosságú szellemi tulajdont tartalmaznak, hogy megvédje ezeket a jogosulatlan alkalmazásoktól - mint például a Duqu - mielőtt azok elindulnak, vagy beszivárognak a szervezetbe
  • Alkalmazzon biztonsági esemény és incidens-napló feldolgozó rendszereket (SIEM) vagy felügyelt biztonsági szolgáltatásokat (MSS), hogy jelezze a C&C szerverek IP címét, és blokkolja az ezekhez kapcsolódó kommunikációkat.

A Symantec honlapja

Kategória: Üzlet
Címkék:

Kapcsolódó elemek

Vissza a tetejére

Tudomány / Alapkutatás

tudomany

CAD/CAM

cad

Járműelektronika

jarmuelektronika

Microchip-2024-May-web
TMS-2023-06-09
Phoenix – 2021_02
Rohde & Schwarz 2023

Rendezvények / Kiállítások

Mostanában nincsenek események
Nincs megjeleníthető esemény
Sicontact 20211025