赛门铁克通报Duqu病毒最新情况 需严密防范

来源:赛迪网  
2011/11/4 11:11:46
经过对Duqu病毒攻击的持续调查,赛门铁克已经确认,该病毒利用了微软此前没有发现的零日漏洞(Zero-day)来感染目标计算机。



本文关键字: Duqu病毒 零日漏洞

经过对Duqu病毒攻击的持续调查,赛门铁克已经确认,该病毒利用了微软此前没有发现的零日漏洞(Zero-day)来感染目标计算机。

攻击者利用Windows系统的漏洞,通过一份恶意伪造的Word文档,来安装Duqu病毒文件。这种安装方式是此前讨论时没有提及的。值得注意的是,这可能仅仅是诸多安装Duqu病毒方法中的一种,攻击者很可能利用其他方法感染不同组织的计算机。目前赛门铁克已监测到来自法国、荷兰、瑞士及印度等8个国家的6家组织受到该病毒感染。

此外,新的重要发现还包括:有迹象表明Duqu病毒接受到指令,在被感染的网络上传播;攻击者能够通过点对点(P2P)通信方法与未连接到互联网但已感染Duqu病毒的计算机进行通信;而且,根据Duqu病毒的又一样本,它能够与第二命令控制服务器(C&C Server)进行通信。

除此之外,赛门铁克与the Laboratory of Cryptography and System Security (CrySyS)还有一些其它的重要发现,详情见赛门铁克最新博客文章Symantec blog post.。赛门铁克安全技术与响应中心还会持续密切关注Duqu病毒攻击的发展,并及时向大家通报。

最佳实践:

赛门铁克建议企业和组织依据以下最佳实践,以保护自身不受该网络攻击的侵害:

?不要打开未知的附件;

?采用数据泄露防护技术防止机密信息丢失,同时监测可疑的网络接入;

?确保您的端点安全防护产品更新到最新版本;

?使用终端设备控制,以防止未经授权的移动设备接入网络;

?通过锁定或硬化含有核心知识产权的服务器,以防止如Duqu这样未经授权的应用入侵或渗透进企业网络中;

?要求您的安全信息和事件管理系统SIEM提供商以及可管理的安全服务MSS提供商找出指向命令和控制服务器(C&C servers)IP地址的通讯活动,并阻止这些通讯地进行;

?赛门铁克支持保护私有源码签名密钥的最佳实践,我们建议企业对其私有密钥进行适当的保护,具体措施包括:

☆分隔验证签名并发布签名 –通过使用由内部根验证证书授权产生的验证证书,设置相对应的源码签名架构。这样可以确保用于签署官方软件的私有关键业务证书能够存储在用于常规研发工作的安全的系统中,降低被侵害的可能性;

☆密码保护的硬件模块 – 将密钥存储在通用型计算机的软件中,有可能面临安全风险。因此,将密钥储存在具有安全的、具备防篡改功能的,并且设有密码保护的硬件设备中,是一种更加安全且实用的手段;

☆物理安全防护措施 – 没有物理安全防护,就谈不上真正的安全。如果外来者或者恶意攻击制造者能获取到企业的源码签名密钥,所有的密码保护措施将形同虚设。摄像头、警卫、指纹识别扫描等附加措施对于保护核心资产至关重要,企业必须格外重视。

责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918