Conficker to najgłośniejszy medialnie i zarazem jeden z najgroźniejszych w ostatnim czasie robaków. Dla specjalistów zajmujących się bezpieczeństwem komputerowym jest bardzo interesujący ze względu na zastosowane przez jego twórców nieznane wcześniej rozwiązania. Prowadzone przez ekspertów z NASK obserwacje ujęte zostały w raporcie analizującym rzeczywiste zagrożenie Conficerem.
Przed początkiem kwietnia istniało podejrzenie zablokowania zapytaniami HTTP GET serwerów www, które używają „confickerowych” nazw domenowych. Z obserwacji ekspertów NASK wynika, że ruch HTTP powodowany przez zainfekowane Confickerem komputery był jednak zaskakująco niski.
Od kwietnia grupa specjalistów z NASK monitorowała ruch HTTP do pewnej liczby tzw. “polskich domen confickerowych”, z którymi miały się łączyć zarażone tym robakiem komputery. Obserwacje kontynuowane były w ramach projektu nazwanego Confiture (skrót od Conficker capture). Okazało się, że na terytorium Polski doszło do stosunkowo niewielkiej liczby infekcji. Unikalnych źródeł połączeń z Polski było zaledwie 8.867 (25. miejsce na liście wszystkich krajów, pierwsze trzy miejsca to Chiny, Rosja i Brazylia).
Autorzy raportu zwracają uwagę na nowatorskość robaka, potencjalnie utrudniającą skuteczne zwalczanie botnetu. Na szczęście wywołało to większe zainteresowanie wśród ekspertów od bezpieczeństwa i przyczyniło się do rozpoznania mechanizmów działania robaka. W przyszłości jednak, jeśli więcej botnetów będzie budowana w oparciu o podobną technikę, problem może stać się znacznie poważniejszy. Konieczne zatem staje się opracowanie nowego systemu reakcji na tego typu zjawiska, obejmujący operatorów registry, rejestratorów, zespołów typu CERT, organów ścigania oraz innych zainteresowanych.
Raport dostępny jest pod adresem: http://www.cert.pl/PDF/Projekt_Confiture.pdf |
