赛门铁克通报Duqu病毒最新情况

经过对Duqu病毒攻击的持续调查,赛门铁克已经确认,该病毒利用了微软此前没有发现的零日漏洞(Zero-day)来感染目标计算机。

攻击者利用Windows系统的漏洞,通过一份恶意伪造的Word文档,来安装Duqu 病毒文件。这种安装方式是此前讨论时没有提及的。值得注意的是,这可能仅仅是诸多安装Duqu病毒方法中的一种,攻击者很可能利用其他方法感染不同组织的计算机。目前赛门铁克已监测到来自法国、荷兰、瑞士及印度等8个国家的6家组织受到该病毒感染。

此外,新的重要发现还包括:有迹象表明Duqu病毒接受到指令,在被感染的网络上传播;攻击者能够通过点对点(P2P)通信方法与未连接到互联网但已感染Duqu病毒的计算机进行通信;而且,根据Duqu病毒的又一样本,它能够与第二命令控制服务器(C&C Server)进行通信。

除此之外,赛门铁克与the Laboratory of Cryptography and System Security (CrySyS)还有一些其它的重要发现,详情见赛门铁克最新博客文章Symantec blog post.。赛门铁克安全技术与响应中心还会持续密切关注Duqu病毒攻击的发展,并及时向大家通报。

最佳实践:

赛门铁克建议企业和组织依据以下最佳实践,以保护自身不受该网络攻击的侵害:

•不要打开未知的附件;

•采用数据泄露防护技术防止机密信息丢失,同时监测可疑的网络接入;

•确保您的端点安全防护产品更新到最新版本;

•使用终端设备控制,以防止未经授权的移动设备接入网络;

•通过锁定或硬化含有核心知识产权的服务器,以防止如Duqu这样未经授权的应用入侵或渗透进企业网络中;

•要求您的安全信息和事件管理系统SIEM提供商以及可管理的安全服务MSS提供商找出指向命令和控制服务器(C&C servers)IP地址的通讯活动,并阻止这些通讯地进行;

•赛门铁克支持保护私有源码签名密钥的最佳实践,我们建议企业对其私有密钥进行适当的保护,具体措施包括:

☆分隔验证签名并发布签名 –通过使用由内部根验证证书授权产生的验证证书,设置相对应的源码签名架构。这样可以确保用于签署官方软件的私有关键业务证书能够存储在用于常规研发工作的安全的系统中,降低被侵害的可能性;

☆密码保护的硬件模块 – 将密钥存储在通用型计算机的软件中,有可能面临安全风险。因此,将密钥储存在具有安全的、具备防篡改功能的,并且设有密码保护的硬件设备中,是一种更加安全且实用的手段;

☆物理安全防护措施 – 没有物理安全防护,就谈不上真正的安全。如果外来者或者恶意攻击制造者能获取到企业的源码签名密钥,所有的密码保护措施将形同虚设。摄像头、警卫、指纹识别扫描等附加措施对于保护核心资产至关重要,企业必须格外重视。