Jumat, 27 Agustus 2010


Berburu Conficker Worm Dalam Jaringan



Di era wabah cacing jaringan komputer (worm) bernama conficker, saya merasa beruntung sudah tidak lagi bertanggung-jawab langsung terhadap keamanan jaringan komputer yang besar. Conficker berhasil menginfeksi 12 juta komputer, termasuk yang berada di kapal selam dan kapal induk milik AL Inggris.

Cukup sudah 3 pengalaman pahit saat menangani langsung crisis center disebuah perusahaan global yang beroperasi dipuluhan negara dengan jaringan internal yang berisi dari lebih dari seratus ribu komputer, yaitu saat worm bernama Slammer, Blaster-Welchia dan Korgo mewabah. Welchia worm (atau Nachi) sendiri awalnya dibuat untuk memerangi Blaster, namun pada kenyataannya menimbulkan kerugian melebihi Blaster. Worm adalah worm, tidak ada worm yang baik.

Memburu worm komputer dari sebuah kota kecil di Perancis selatan hingga ke ujung dunia seperti Afrika, Timur Tengah, hingga Siberia dan Alaska menjadi pengalaman yang amat berharga dan mungkin tidak terulang lagi. Mengirim 2 orang teknisi TI ke anjungan gas di Alaska untuk membersihkan 5 komputer dalam waktu 24 jam menelan biaya belasan ribu dollar Amerika. Dari jarak ribuan kilometer, memastikan kelangsungan operasi SCADA sistem dari pusat pemrosesan gas terapung diperairan Afrika ditengah serangan worm merupakan pengalaman yang sepertinya tidak mungkin terulang. Kapal raksasa seharga beberapa milyar euro menjadi taruhan.

Modal dasar memburu worm, seperti conficker, adalah mengenal dengan baik karakteristik worm tersebut. Karakteristik conficker sudah dibahas pada 16th Security Night di Microsoft 12 Maret lalu (download disini). Know Your Enemy: Containing Conficker dan hasil penelitian SRI memberi penjelasan yang lebih rinci.

Saat komputer dikuasai worm, langkah berikutnya yang dilakukan oleh worm adalah menyerang anti virus dan sistem pengaman lainnya, seperti personal firewall. Sehingga AV Centralized Management seringkali dibuat tidak berdaya untuk mencari komputer mana yang sudah terinfeksi.

Mencari Komputer Yang Vulnerable
Salah satu tehnik memburu worm adalah melakukan scanning di jaringan, mencari komputer yang vulnerable karena belum dipatch. Namun, Conficker meng-install security patch sendiri sesaat setelah menginfeksi. Komputer yang terinfeksi, saat di scanning, terlihat sebagai komputer yang sudah dipatch, sehingga sulit untuk dibedakan.

Ternyata baru-baru ini ditemukan bahwa security patch yang dimiliki Conficker memiliki celah keamanannya sendiri. Sehingga keberadaannya di jaringan dapat ditemukan. Khawatir celah keamanan ini disalah-gunakan oleh pembuat malware lainnya untuk menguasai komputer yang terinfeksi Conficker, maka Conficker Working Group (CWG) memutuskan untuk sementara ini tidak mempublikasikan detil informasi dari kelemahan tersebut.

Conficker Scanning Tool melalui jaringan dapat didownload di sini. Jika anda biasa menggunakan Nessus maka sudah terdapat plugin #36036 dapat digunakan unutk memburu Conficker.

Karena Conficker mengubah cara Windows merespon beberapa network path requests, maka tool dari HoneyNet Project mencari conficker dengan cara mengirim RPC request dan melihat repons yang diberikan oleh komputer.

Mencari Paket Jaringan Komputer Yang Dikirim Conficker
Tehnik berburu worm lainnya adalah menggunakan Network -based Intrusion Detection Systems (IDS) atau Intrusion Prevention System (IPS). Anda dapat menggunakan Snort IDS (gratis) dengan IDS signature yang terdapat pada halaman 8 dari Know Your Enemy: Containing Conficker

Mematikan Proses Conficker
Amat sulit untuk mengidentifikasi file yang berisi Conficker karena di packed dan dienkripsi. Namun, saat berjalan dalam memory, Conficker berada dalam kondisi unpacked. Sehingga tool conficker_mem_killer.exe dan memscan.zip dapat digunakan untuk mendeteksi dan menghentikan Conficker proses. Momok saat proses Conficker dimatikan komputer menjadi hang berhasil diatasi oleh tool ini.

Buat organisasi yang menggunakan Windows Active Directory, layak dipertimbangkan untuk menjalankan tool ini melalui startup script atau login script.

Tool Pembersih Conficker
Klik disini untuk mendapatkan daftar tools yang dapat digunakan untuk membersihkan Conficker

Diposting oleh di Tidak ada komentar:
1. 007 Keylogger Spy Software 3.873
2. Active Key Logger 2.4
3. Activity Keylogger 1.80.21
4. Activity Logger 3.7.2132
5. ActMon Computer Monitoring 5.20
6. Actual Spy 2.8
7. Advanced Invisible Keylogger v1.9
8. Advanced Keylogger 1.8
9. Ardamax Keylogger 2.9
10. BlazingTools Perfect Keylogger 1.68
11. Blazingtools Remote Logger v2.3
12. Data Doctor KeyLogger Advance v3.0.1.5
13. Local Keylogger Pro 3.1
14. ExploreAnywhere Keylogger Pro 1.7.8
15. Family Cyber Alert 4.06
16. Family Keylogger 2.80
17. Firewall bypass Keylogger 1.5
18. Free Keylogger 2.53
19. Ghost Keylogger 3.80
20. Golden Eye 4.5
21. Golden KeyLogger 1.32
22. Handy Keylogger 3.24 build 032
23. Home Keylogger 1.77
24. Inside Keylogger 4.1
25. iOpus Starr PC and Internet Monitor 3.23
26. iSpyNow v2.0
27. KeyScrambler 1.3.2
28. Keystroke Spy 1.10
29. KGB Keylogger 4.2
30. KGB Spy 3.84
31. LastBit Absolute Key Logger 2.5.283
32. Metakodix Stealth Keylogger 1.1.0
33. Network Event Viewer v6.0.0.42
34. OverSpy v2.5
35. PC Activity Monitor Professional 7.6.3
36. PC Spy Keylogger 2.3 build 0313
37. PC Weasel 2.5
38. Personal PC Spy v1.9.5
39. Power Spy 6.10
40. Powered Keylogger v2.2.1.1920
41. Quick Keylogger 2.1
42. Radar 1.0
43. Real Spy Monitor 2.80
44. Real Spy Monitor 2.80
45. Remote Desktop Spy 4.04
46. Remote KeyLogger 1.0.1
47. Revealer Keylogger Free 1.33
48. SC Keylogger Pro 3.2
49. Smart Keystroke Recorder Pro
50. Spector Pro 6.0.1201
51. SpyAnytime PC Spy 2.42
52. SpyBuddy 3.7.5
53. Spytech SpyAgent 6.02.07
54. Spytector 1.3.5
55 Stealth Key Logger 4.5
56. System keylogger 2.0.0
57. Tim’s Keylogger 1.0
58. Tiny Keylogger 2.0
59. Total Spy 2.7
60. Windows Keylogger 5.04
61. Win-Spy Pro 8.9.109
62. XP Advanced Keylogger 2.5
63. XPCSpy Pro version 3.01
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)