Lytt til dette tipset som en MP3
Lytt til Duqu malware råd: Bør bedrifter bekymre Duqu Trojan? som en MP3 her!
Ikke alle malware bør få den type oppmerksomhet som Stuxnet, som det er vesentlig mer farlig malware i naturen for de fleste bedrifter og forbrukere. Men det betyr ikke at Duqu bør ignoreres heller. Dette tipset undersøker Duqu, sine evner, og hvordan bedrifter bør gjøre i en potensiell trussel som Duqu Trojan.
Har de Duqu Trojan fortjener oppmerksomhet?
Duqu har fått vesentlig informasjon sikkerhetsmedieoppmerksomhet delvis på grunn av sin rapporterte lenke til Stuxnet. De siste rapportene tyder Duqu ble skapt av den samme organisasjonen, men det kan ikke være basert direkte på Stuxnet-koden. Selv om det kan være et poeng av stridigheter blant sikkerhetsforskere, ser det ut til at Duqu utviklerne lært mye av Stuxnet.
Den mest bemerkelsesverdige aspektene av Duqu fra den siste Symantec-rapporten er hvordan dens kommando-og-kontroll-servere ble videreforbindelser til andre servere og peer-to-peer-kommando-og-kontroll komponenter, selv om du bruker peer-to-peer for kommando og kontroll er heller ikke ny.
Duqu er en relativt sofistikert utvalg av malware, men mange av sine evner er standard billettpris i moderne malware. Duqu er en ekstern tilgang Trojan designet for å stjele informasjon fra bestemte organisasjoner og bruker mange av de samme teknikkene som annen malware. De mest bemerkelsesverdige aspektene av Duqu fra den siste Symantec-rapporten er hvordan dens kommando-og-kontroll-servere ble videreforbindelser til andre servere og peer-to-peer-kommando-og-kontroll-komponenter, selv om bruk av peer-to-peer for kommando og kontroll er heller ikke ny. Den trusselnivået Duqu utgjør for de fleste bedrifter er relativt lav siden det bare har blitt oppdaget i et lite antall bedrifter. Foretak med høy sikkerhet miljøer og svært verdifulle eiendeler bør være mer bekymret, siden de kan være mål for Duqu-lignende angrep. Duqu og Stuxnet kan brukes i fremtidige angrep, men det er sannsynlig at angriperne skal bruke Duqu som en ekstra læring øvelse for å unngå å bli oppdaget i fremtiden når du bruker det store malcode følger Duqu.
Enterprise svar på Duqu
generell bedriften respons på Duqu bør være å vurdere om systemene kunne ha oppdaget og forhindret det, og for å bruke det som et eksempel for sin Computer Security Incident Response Team (CSIRT). Som malware angrep blir mer avansert og mer vanskelig å oppdage ved hjelp av tradisjonelle sikkerhetsverktøy, merverdiavgift eller hvordan virksomhetens nåværende informasjonssikkerhet verktøy kan brukes til å oppdage malware som Duqu bidrar til å sikre det er forberedt for fremtidige hendelser.
Mange av Duqu fingeravtrykk, slik som kommando-og-kontroll-kommunikasjon, kan oppdages ved hjelp av eksisterende sikkerhetsteknologier. Dersom et foretak holdt nettverk IP strømnings data fra en IDS, det kunne bruke den til å søke etter data som forlater sitt nettverk eller for forbindelser til kommando-og-kontroll-servere. En DLP verktøy kan selv være i stand til å detektere dataene etterlater et nettverk. Et foretak kan også bruke et verktøy ment for systemadministrasjon til inventar alle filene på et system på en daglig basis, og deretter analysere forskjellene (også på daglig basis) for å se etter uautoriserte endringer, eller bruke en fil integritet overvåking verktøy for å identifisere når en ondsinnet fil ble skrevet til et system. En Duqu infeksjon kan potensielt forebygges ved hjelp av en hvitlisting program som kun tillater godkjent kode kjøres.
Flere nyheter på Duqu Trojan
Tilded plattform ansvarlig for Stuxnet, Duqu evasiveness
Nytt Duqu trojanske analyse spørsmål Stuxnet tilkoblings
desember 2011 patch tirsdag ser 13 Microsoft bulletiner, Duqu patch
Ved hjelp av Duqu som et eksempel for en CSIRT trening også forbereder en organisasjon for en lignende målrettet angrep. Hvis hullene er funnet i en hendelse respons prosessen, kan nye systemer eller datakilder bli undersøkt for å sikre en bedrift kan oppdage malware. De fleste rapporter om Duqu tyder det infiltrerte nettverk mange måneder før deteksjon. Ved den tiden det ble oppdaget, dataene den målrettede hadde mest sannsynlig allerede blitt stjålet. Fordi Duqu utlized en zero-day sårbarhet Microsoft Windows og var tilpasset malware, ble det ikke oppdaget av mange antivirus eller antimalware-produkter, et vanlig problem med målrettede angrep. Derfor er den beste innsatsen for en bedrift å beskytte seg mot skader eller tap som følge av Duqu-lignende angrep er rask påvisning og en hendelse respons strategi. Dette er ikke å si rask påvisning og en god hendelsesrespons strategi er den eneste sikkerhetskontroller er nødvendig, men avansert malware eller et godt ressurs angriper kan potensielt omgå eventuelle forebyggende sikkerhetskontroller.
Erfaringer fra Duqu malware
Mens det er mye mer farlig malware prøver i naturen, er det fortsatt noen verdifulle lærdommer å trekke fra Duqu. Bedrifter bør gjennomføre nødvendige kontroller for å sikre sine endepunkter mot angrep de kunne møte; få bedrifter ble angrepet av Duqu, men de fleste organisasjoner vil til slutt bli tvunget til å svare på et målrettet angrep av et eller annet slag, selv om det bare er et phishing-angrep.
Som avanserte angrepsteknikker er commoditized, som beskrevet av HD Moores lov, vedtar bredere angriper samfunnet angrepene. Det er sikkert mer avanserte angrep vi aldri hører om, så mer offentlige data på de mer avanserte angrep bare forbedrer hvordan virksomheter sikre sine systemer. Med den økende raffinement og brukervennlighet av utnytte kits, bør bedriftene gjennomføre rimelige sikkerhetskontroller på tvers av deres miljø og beskytte individuelle verdifulle eiendeler på riktig måte.