记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

趋势科技安全报告:探讨CONFICKER/ DOWNAD蠕虫的发展和演变(2008~2017)

2017-12-09 01:25

背景介绍

DOWNAD恶意软件(趋势科技将其标识为DOWNAD恶意软件家族)首次被发现是在2008年,当时它是一种最具破坏性的恶意软件之一,感染了全球范围内900多万台电脑,颇具影响力。九年时间过去了,DOWNAD(也被称为CONFICKER,)经历过几次高峰,本文就详细探讨一下近十年来的CONFICKER/ DOWNAD银行的发展和演变,以及为什么时至今日它仍然是一款世界上最流行的恶意软件。

数据统计

DOWNAD早期的感染量非常巨大,全球范围内高达900万台计算机。四年后, DOWNAD仍然是当时最流行的恶意软件之一,2012年检测到的全球感染量达2564618例,2013年,呈下降趋势,WORM_DOWNAD的检测量第一季度是741000,到第四季度下降为229000,推测其原因,可能是由于很多用户更新了所使用的操作系统,从而减少漏洞被利用的机会。不过,在2013年的恶意软件排行榜中WORM_DOWNAD依然名列前茅,全面检测总量为1,824,000。2014年和2015年继续保持着这种趋势,检测总量分别为288,374 和298,000,依然在年度的企业和SMSBs恶意软件排行榜上占据第二名的位置。

图1:跟踪DOWNAD的检测量(2012年~2016年)

2016年和2017年这段时间,虽然DOWNAD已经从高峰期降下来并趋于稳定了,但是根据趋势科技智能网络数据显示,DOWNAD每月的检测量依然高于20000,这也从侧面反映了DOWNAD仍然是非常活跃的。

下图显示了过去两年中每月检测到的WORM_DOWNAD.AD的数量,从中可以看出,每月检测量整体趋势帆布是比较一致的。

图2:近两年内每月WORM_DOWNAD.AD的检测量(2016年和2017年)

分析DOWNAD的分布情况,发现其有三个领域的感染量比较突出:政府、制造业、医疗保健行业。在三个领域内检测到的WORM_DOWNAD.AD数量在WORM_DOWNAD.AD检测总量中的占比相当可观:2016年为 34%; 2017年为41%。这些行业通常更为专注于自身特定的业务专长,与软件或外包等“技术密集型”行业的公司的相比,在技术升级方面投入的资源较少。此外,鉴于这些行业组织的规模和复杂性,通常情况下升级系统需要投入大量的时间和资源。这些都是关键因素,可以解释为什么DOWNAD在这些行业的分布占比较大。

图3:WORM_DOWNAD.AD的行业分布(2016年)

图4:WORM_DOWNAD.AD的行业分布(2017年)

 

进一步分析WORM_DOWNAD.AD的地区分布情况,可以发现一个明显的规律:2016年和2017年,受WORM_DOWNAD.AD影响最严重的国家都是发展中国家,尤其是金砖四国集团中的中国、巴西和印度,总所周知,这几个国家的制造业非常强大,也是受WORM_DOWNAD.AD影响的地区。

图5:受WORM_DOWNAD.AD最严重的三个国家(2016年)

图6:受WORM_DOWNAD.AD最严重的三个国家(2017年)

监测数据显示,最常见的DOWNAD样本是一个早期检测到的变种WORM_DOWNAD.AD,尽管它已经存在很长时间了,但至今仍然非常活跃。WORM_DOWNAD.AD变种在野外被检测到,主要通过将自身复制到物理和可移动驱动器上,之后它会向互联网上随机选择的目标发送攻击代码,过程如下图所示:

图7:WORM_DOWNAD.AD的感染链

一旦渗入到目标系统,WORM_DOWNAD.AD会将自身拷贝到系统所有驱动器的回收站中,与被感染机器的移动磁盘和网络硬盘相连接。之后它创建一个经过混淆过的AUTORUN.INF文件,当用户浏览一个被感染的网络文件夹或可移动磁盘时,恶意代码就会被执行(注意,这种操作模式在当前版本的Windows系统上是行不通的)。然后,通过枚举网络上可用的服务器,检索连接到系统上的用户账号信息。最后一步,使用预定义的密码列表对这些账号进行字典攻击。为了防止用户把它从系统上删除掉,WORM_DOWNAD.AD会修改受感染计算机的DNS设置,防止用户访问杀毒软件相关的网站(有一些特殊字符串用以标识这些网站)。

顺利的话,WORM_DOWNAD.AD会利用目标系统上存在的CVE-2008-4250漏洞(该漏洞的补丁于2008年10月被发布),这一漏洞允许攻击者在目标系统上远程执行代码。

WORM_DOWNAD.AD能够通过多种途径进行传播,因此尽管自最初的感染峰值之后,已经过去了九年时间,但该恶意软件依然很活跃。

九年过去了,为什么DOWNAD仍然盛行?

尽管离DOWNAD最初被发现已经有近十年的时间了,但DOWNAD仍大量存在。多年来,安全公司采用了各种阻断方式来打击它,但这款老旧的恶意软件仍然非常有效。除了它的传播技术外,还存在一些其他原因。

DOWNAD具有感染物联网设备的能力,很多现代安全系统实际上并没有受到充分的包含,DOWNAD恶意软件能够通过利用好那些未打补丁的旧版本的Windows系统上的漏洞。这表明,DOWNAD依然非常活跃的一个原因是这些遗留的旧操作系统,它们未能及时更新系统或软件漏洞。值得一提的是,DOWNAD利用的是一个2008年已经发布了补丁的旧漏洞,按照常理推断,应该只有少数系统能够被攻破,但检测到的数据描绘了另一幅情景:2017年10月份,仍有超过60000个存在CVE-2008-4250漏洞的系统被DOWNAD感染了。

所有这些线索描绘出了DOWNAD受害者的典型画像:重点行业的组织,通常来自发展中国家,使用过时的、未打补丁的老旧系统作为其网络的一个组成部分。

这里边最关键的一点是:九年来, DOWNAD恶意软件盯准了一个非常有效的缝隙:未达补丁的老旧系统。尽管它不像WannaCry 或 Petya那样知名,但它无疑仍是一个持续性的威胁,这些未打补丁的老旧系统存在的时候,DOWNAD就仍有生存的土壤。

组织如何防止DOWNAD之类的恶意软件?

尝试采取安全措施防止用户或组织遭受DOWNAD之类的恶意软件的侵扰,是一件困难且漫长的工作,然而并非无计可施。

  • 就算是对安全不太重视的企业,也可以通过对移动驱动器进行适当地扫描,确保他们未被恶意软件感染,这样做可以大大的减少DOWNAD之类的恶意软件的侵害。
  • 组织应避免使用过时的操作系统,尤其是WindowsXP这样已经不再受厂商支持的系统。今年5月份发生的WannaCry攻击,就是很好的案例。
  • 不得不再次强调及时更新计算机系统的重要性。就像本文叙述的案例一样,2017年,一个旧的恶意软件仍能通过一个老的漏洞继续感染目标系统。

更新长期存在的计算机系统需要投入大量的人力和资源。理想情况下,当企业不再支持其操作系统或软件时,才会将操作系统或软件迁移到更新的版本上。然而,从2016年仍有大量的Windows XP的大量用户来看,系统的更新非常缓慢。更新遗留系统面临的挑战包括:

  • 需要大量的时间、资源和努力;
  • 遗留的应用程序可能无法在较新的操作系统上正常运行;
  • 组织的IT专业人员可能不具备执行系统和软件迁移的技能或专门知识;
  • 重写应用程序(尤其是在需要进行重大更改时)的代价太大或效率太低。

在这种情况下,企业或组织若想要保留现有系统或软件,又想要很好的管理漏洞,虚拟补丁是一个不错的解决方案。

*受篇幅所限,关于“虚拟补丁”的问题这里不做过多介绍,感兴趣的可以下方留言与大家一起讨论&交流。

知识来源: www.mottoin.com/108146.html

阅读:94217 | 评论:0 | 标签:安全报告 CONFICKER/ DOWNAD蠕虫 趋势科技

想收藏或者和大家分享这篇好文章→复制链接地址

“趋势科技安全报告:探讨CONFICKER/ DOWNAD蠕虫的发展和演变(2008~2017)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云