Conficker

Conficker, juga dikenal sebagai Downup, Downadup dan Kido, adalah cacing komputer yang menargetkan Microsoft Windows sistem operasi yang pertama kali terdeteksi pada bulan November 2008. [1] Kekurangan dalam menggunakan perangkat lunak Windows mengkooptasi mesin dan link mereka ke dalam komputer virtual yang dapat diperintahkan dari jarak jauh oleh pembuat. Conficker memiliki lebih dari lima juta komputer sekarang di bawah kendali pemerintah, bisnis dan rumah komputer di lebih dari 200 negara, menurut New York Times. [2] Worm ini menggunakan kombinasi teknik-teknik canggih malware yang telah membuatnya menjadi sulit untuk dimusnahkan, dan sejak itu menyebar dengan cepat ke dalam apa yang sekarang diyakini sebagai infeksi cacing komputer terbesar sejak tahun 2003 SQL Slammer. [3]
•
Sejarah
Nama
Asal usul nama Conficker dianggap sebuah portmanteau dari Inggris istilah “mengkonfigurasi” dan jerman kata Ficker, yang berarti “Bajingan.” [4] [5] Di sisi lain, Microsoft analis Yosua Phillips menggambarkan nama sebagai penyusunan kembali bagian dari nama domain trafficconverter.biz, [6] yang digunakan oleh versi awal Conficker untuk mendownload update.
Penemuan

Varian pertama Conficker, ditemukan pada awal bulan November 2008, yang disebarkan melalui Internet dengan mengeksploitasi kerentanan dalam layanan jaringan (MS08-067) di Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, dan Windows Server 2008 R2 Beta. [7] Sementara Windows 7 mungkin telah terpengaruh oleh celah ini, Windows 7 Beta tidak umum tersedia sampai Januari 2009. Meskipun Microsoft merilis darurat out-of-band patch pada 23 Oktober 2008 untuk menutup kerentanan, [8] sejumlah besar Windows PC (diperkirakan 30%) tetap unpatched hingga akhir Januari 2009. [9] Varian kedua dari worm, yang ditemukan pada bulan Desember 2008, menambahkan kemampuan untuk menyebarkan lebih dari LAN melalui media removable dan jaringan berbagi. [10] Para peneliti percaya bahwa ini merupakan faktor penentu yang memungkinkan worm untuk menyebarkan dengan cepat: pada bulan Januari 2009, perkiraan jumlah komputer yang terinfeksi berkisar dari hampir 9 juta [11] [12] [13] sampai 15 juta. [14] Vendor software antivirus Panda Security melaporkan bahwa dari 2 juta komputer dianalisis melalui ActiveScan, sekitar 115.000 (6%) terinfeksi dengan Conficker. [15]
Baru-baru ini perkiraan jumlah komputer yang terinfeksi telah lebih khususnya sulit karena perubahan dalam propagasi dan strategi update varian terbaru dari worm. [16]
Dampak di Eropa
Intramar itu, Angkatan Laut Perancis jaringan komputer, terinfeksi dengan Conficker pada tanggal 15 Januari 2009.Jaringan ini kemudian dikarantina, memaksa pesawat di beberapa airbases akan didasarkan karena rencana penerbangan mereka tidak bisa di-download. [17]
Di Inggris Raya Departemen Pertahanan melaporkan bahwa sebagian besar sistem dan desktop yang terinfeksi.Worm telah menyebar di seluruh kantor administrasi, NavyStar / N * desktop kapal berbagai kapal perang Angkatan Laut Kerajaan dan Angkatan Laut Kerajaan kapal selam, dan rumah sakit di kota Sheffield infeksi melaporkan lebih dari 800 komputer. [18] [19]
Di 2 Februari 2009, Bundeswehr, angkatan bersenjata yang padu dari Republik Federal Jerman melaporkan bahwa sekitar seratus dari komputer mereka terinfeksi. [20]
Infeksi Manchester City Council sistem TI menyebabkan diperkirakan senilai £ 1.5m gangguan dalam Februrary 2009.Bos sejak melarang penggunaan memori stick dan cacat drive USB; ini adalah bagaimana infeksi diyakini terjadi. [21]
Sebuah memo dari Direktur British Parlemen ICT menginformasikan pengguna House of Commons pada tanggal 24 Maret 2009 yang itu sudah terinfeksi dengan cacing.Memo, yang kemudian bocor, yang disebut bagi pengguna untuk menghindari menghubungkan peralatan yang tidak sah ke jaringan. [22]

Operasi
Meskipun hampir semua maju malware teknik yang digunakan oleh Conficker telah melihat masa lalu gunakan atau terkenal bagi para peneliti, gabungan cacing menggunakan begitu banyak telah membuatnya menjadi sangat sulit untuk memberantas. [23] Cacing’s diketahui penulis juga diyakini akan melacak upaya anti-malware dari operator jaringan dan penegakan hukum dan telah secara teratur merilis varian baru untuk menutup kerentanan cacing itu sendiri. [24] [25]
Lima varian dari worm Conficker dikenal dan telah dijuluki Conficker A, B, C, D dan E. Mereka ditemukan 21 November 2008, Desember 29 2008, Februari 20 2009, Maret 4 2009 dan 7 April 2009, masing-masing. [26] [27]
Infeksi awal
• Varian A, B, C dan E mengeksploitasi kerentanan dalam Windows Server Service di komputer, di mana yang sudah terinfeksi menggunakan komputer sumber khusus dibuat RPC permintaan untuk memaksakan suatu buffer overflow dan mengeksekusi shellcode di komputer target. [41] Pada komputer sumber, cacing menjalankan server HTTP pada port antara 1024 dan 10000; shellcode target menghubungkan kembali ke server HTTP ini untuk men-download salinan dari worm di DLL bentuk, yang kemudian menempel pada svchost.exe. [32 ] Varian B dan kemudian dapat melampirkan bukannya ke berjalan services.exe atau Windows Explorer proses. [25]
• Varian B dan C dapat secara remote menjalankan salinan sendiri melalui ADMIN $ saham pada komputer terlihat lebih dari NetBIOS. Jika berbagi dilindungi dengan sandi, sebuah serangan kamus yang dicoba, berpotensi menghasilkan sejumlah besar lalu lintas jaringan dan tersandung kebijakan lockout akun. [42]
• Varian B dan C tempat salinan formulir DLL mereka melekat pada setiap media removable (seperti USB flash drive), dari mana mereka kemudian dapat menginfeksi host baru melalui Windows Autorun mekanisme. [10]
Untuk memulai itu sendiri pada sistem boot, cacing menyimpan duplikat dari formulir DLL nama file acak di sistem Windows folder, kemudian menambahkan kunci registri telah svchost.exe meminta bahwa DLL sebagai sebuah layanan jaringan tak kasat mata. [25]
Payload propagasi
Cacing memiliki beberapa mekanisme untuk mendorong atau menarik dieksekusi payloads melalui jaringan.Payloads ini digunakan oleh worm untuk memperbarui diri dengan varian baru, dan untuk menginstal malware tambahan.
• Varian A menghasilkan sebuah daftar dari 250 nama domain setiap hari di lima TLDs.Nama domain dihasilkan dari sebuah pseudo-nomor acak generator diunggulkan dengan tanggal hari ini untuk memastikan bahwa setiap salinan dari worm menghasilkan nama yang sama setiap hari.Cacing kemudian mencoba koneksi HTTP untuk masing-masing nama domain pada gilirannya, mengharapkan dari salah satu dari mereka yang ditandatangani payload. [25]
• Varian B meningkatkan jumlah TLDs ke delapan, dan memiliki tweak generator untuk menghasilkan nama domain menguraikan dari orang-orang A. [25]
o Untuk mengatasi cacing pseudorandom penggunaan nama domain, Internet Corporation for Assigned Names and Numbers (ICANN) dan beberapa TLD pendaftar mulai pada bulan Februari 2009 yang terkoordinasi penghalangan Anda dari transfer dan pendaftaran untuk domain ini. [43] Varian D counters harian ini dengan menghasilkan genangan 50.000 domain di 110 TLDs, dari yang secara acak memilih 500 sampai upaya untuk hari itu. Nama-nama domain yang dihasilkan juga dipersingkat 8-11 untuk 4-9 karakter untuk membuat mereka lebih sulit untuk mendeteksi dengan heuristik.Mekanisme tarik baru ini (yang telah dinonaktifkan hingga April 1) [26] [35] adalah tidak mungkin untuk menyebarkan muatan untuk lebih dari 1% dari host yang terinfeksi per hari, namun diperkirakan akan berfungsi sebagai mekanisme untuk penyemaian cacing’s peer-to – jaringan rekan. [28] Nama-nama yang dihasilkan yang lebih pendek, bagaimanapun, diharapkan berbenturan dengan domain yang ada 150-200 per hari, berpotensi menyebabkan didistribusikan denial of service attack (DDoS) di situs yang melayani domain. [44]
• Varian C menciptakan bernama pipa, di mana dapat mendorong URL untuk didownload payloads terinfeksi lain host di jaringan area lokal. [35]
• Varian B, C dan E di memori melakukan patch untuk NetBIOS DLL terkait untuk menutup MS08-067 dan menonton untuk re-infeksi upaya melalui kerentanan yang sama.Re-infeksi dari versi yang lebih baru Conficker diizinkan melalui, efektif mengubah kerentanan menjadi propagasi backdoor. [31]
• Varian D dan E membuat ad-hoc peer-to-peer network untuk mendorong dan tarik muatan yang lebih luas melalui internet.Aspek dari worm ini sangat dikaburkan dalam kode dan tidak sepenuhnya dipahami, tetapi telah diamati untuk menggunakan skala besar UDP scanning untuk membangun sebuah daftar rekan terinfeksi host dan TCP untuk transfer berikutnya payloads ditandatangani.Untuk membuat analisis lebih sulit, nomor port untuk sambungan hashed dari alamat IP dari setiap rekan. [33] [35]
Armoring
Mencegah payloads dari yang dibajak, varian A payloads yang pertama SHA1 – hashed dan RC4 – dienkripsi dengan 512-bit hash sebagai kunci.Hash ini kemudian RSA-ditandatangani dengan 1024-bit kunci pribadi. [32] Payload adalah membongkar dan dieksekusi hanya jika verifikasi tanda tangan dengan kunci publik tertanam dalam cacing.Varian B dan kemudian menggunakan MD6 sebagai fungsi hash dan meningkatkan ukuran kunci RSA 4.096 bit. [35]
Pembelaan diri
Varian C dari worm me-reset System Restore poin dan menonaktifkan beberapa layanan sistem seperti Windows Automatic Update, Windows Security Center, Windows Defender dan Windows Error Reporting. [45] Proses pencocokan daftar yang sudah ditetapkan antivirus, patching sistem diagnostik atau alat untuk mengawasi dan diakhiri. [46] Sebuah di memori patch juga diterapkan ke sistem penyelesai DLL untuk memblokir lookup dari nama host yang berkaitan dengan perangkat lunak antivirus vendor dan layanan Pembaruan Windows. [35]
Akhir tindakan
Varian E dari worm adalah orang pertama yang menggunakan basis dari komputer yang terinfeksi untuk tujuan tersembunyi. [39] Mendownload dan menginstal, dari server web host di Ukraina, dua muatan tambahan: [47]
• Waledac, seorang Spambot juga dikenal untuk menyebarkan melalui lampiran e-mail. [48] Waledac beroperasi sama ke 2008 Storm cacing dan diyakini ditulis oleh penulis yang sama. [49] [50]
• SpyProtect 2009, scareware produk anti-virus. [51]
Gejala
• Account lockout kebijakan yang mengatur ulang secara otomatis.
• Tertentu Microsoft Windows layanan seperti Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender dan Windows Error Reporting dinonaktifkan.
• Kontroler domain perlahan-lahan untuk merespon permintaan klien.
• Kemacetan pada jaringan area lokal (ARP banjir sebagai akibat dari scan jaringan).
• Situs web terkait dengan perangkat lunak antivirus atau Pembaruan Windows pelayanan menjadi tidak dapat diakses. [52]
• Account pengguna terkunci di luar. [53]
Respon
Di 12 Februari 2009, Microsoft mengumumkan pembentukan sebuah kolaborasi industri teknologi untuk memerangi dampak Conficker. Organisasi yang terlibat dalam upaya kolaboratif ini termasuk Microsoft, Afilias, ICANN, Neustar, Verisign, Cina Internet Network Information Center, Warung Internet Registry, Global Domains International, Inc, M1D Global, America Online, Symantec, F-Secure, ISC, peneliti dari Georgia Tech, The Shadowserver Foundation, Arbor Networks, dan Dukungan Intelijen. [24] [54]
Dari Microsoft
Per 13 Februari 2009, Microsoft menawarkan $ Rp 250,000 hadiah bagi informasi yang menjurus pada penangkapan dan keyakinan dari individu-individu di belakang penciptaan dan / atau distribusi Conficker. [55] Anggota kelompok kerja melaporkan bahwa mereka mengharapkan untuk mencari penulis, yang mungkin berbasis di Ukraina, pada awal 2009, tetapi untuk alasan rahasia penyelidikan yang sedang berlangsung. [56]
Dari pendaftar
ICANN telah berupaya preventif penghalangan Anda dari transfer domain dan registrasi dari semua TLD registries terpengaruh oleh cacing’s domain generator.Mereka yang telah mengambil tindakan meliputi:
• Pada 13 Maret 2009, NIC Chili,. Cl ccTLD registry, menghalangi semua nama domain Conficker diinformasikan oleh Kelompok Kerja dan ditinjau seratus sudah terdaftar dari daftar cacing. [57]
• Pada tanggal 24 Maret 2009, Cira, Canadian Internet Registration Authority, mengunci semua-terdaftar sebelumnya. Ca nama domain diharapkan akan dihasilkan oleh cacing selama 12 bulan. [58]
• Pada 27 Maret 2009, NIC-Panama,. Pa ccTLD registry, menghalangi semua nama domain diinformasikan oleh Kelompok Kerja Conficker. [59]
• Tanggal 30 Maret 2009, AKTIFKAN, di Swiss ccTLD registry, mengumumkan hal itu “mengambil tindakan untuk melindungi alamat internet dengan akhiran. ch dan. li dari komputer Conficker cacing.” [60]
• Pada tanggal 31 Maret 2009, NASK, yang Polandia ccTLD registry, terkunci lebih dari 7.000. Pl domain yang diharapkan dapat dihasilkan oleh cacing selama lima minggu berikutnya.NASK juga memperingatkan bahwa lalu lintas cacing terkadang secara tidak sengaja menimbulkan sebuah DDoS penyerangan ke domain yang sah yang kebetulan berada di himpunan yang dihasilkan. [61]
• Pada tanggal 2 April 2009 Pulau Networks, para ccTLD registry untuk Guernsey dan Jersey, menegaskan setelah penyelidikan dan penghubung dengan IANA bahwa tidak ada. Gg atau. Je nama berada di himpunan nama-nama yang dihasilkan oleh cacing.
Pada pertengahan April semua nama domain yang dihasilkan oleh Conficker.Varian telah berhasil diblokir, rendering yang memperbarui mekanisme efektif. [62]
Penghapusan dan deteksi
Microsoft telah merilis sebuah panduan penghapusan cacing, dan merekomendasikan menggunakan versi terbaru dari Windows Alat Penghapus Perangkat Lunak Berbahaya [63] untuk menghapus cacing, kemudian menerapkan patch untuk mencegah infeksi ulang. [64]
Pihak ketiga
Pihak ketiga software anti-virus vendor McAfee, [65] Panda Security, [66] BitDefender, [67] Enigma Perangkat Lunak, [68] ESET, [69] F-Secure, [70] Symantec, [71] Sophos, [72] Kaspersky Lab [73] dan Trend Micro [74] telah merilis update untuk deteksi produk mereka dan mampu menghilangkan cacing.
Remote deteksi otomatis
Pada Maret 27 2009, Felix Leder dan Tillmann Werner dari Proyek Honeynet menemukan bahwa tuan terinfeksi Conficker memiliki tanda tangan terdeteksi ketika dipindai dari jarak jauh. [32] The peer-to-peer protokol perintah yang digunakan oleh varian D dan E dari worm telah dilakukan sejak sebagian reverse-engineered, memungkinkan peneliti untuk meniru perintah cacing paket jaringan dan secara positif mengidentifikasi komputer yang terinfeksi en-masse. [75] [76]
Signature update untuk sejumlah aplikasi pemindaian jaringan sekarang tersedia termasuk Nmap [77] dan Nessus. [78]
Juga dapat dideteksi dalam modus pasif oleh pengendus domain broadcast ARP untuk mengulangi permintaan.
US CERT
The United States Computer Emergency Readiness Team (US-CERT) merekomendasikan nonaktifkan autorun untuk mencegah Varian B dari worm menyebar melalui removable media.Sebelum Microsoft merilis KB967715 Artikel berbasis pengetahuan, [79] US-CERT menggambarkan pedoman Microsoft nonaktifkan Autorun sebagai “tidak sepenuhnya efektif” dan memberikan solusi untuk melumpuhkan secara lebih efektif. [80] US-CERT juga membuat alat berbasis jaringan untuk mendeteksi host yang terinfeksi Conficker tersedia untuk federal dan badan-badan negara. [81]

sumber asal : http://en.wikipedia.org/wiki/Conficker