If you are reading this blog, you probably already know what Conficker is. 

이 블로그를 읽고 있는 사람이라면 Conficker가 뭔지 이미 잘 알겁니다. 

If you don’t, then Conficker is one of the prominent viruses from last few years that continues to infect computers running Microsoft Windows through its several variants. 

모르신다면 설명해 드리죠. Conficker는 지난 몇년동안 마이크로소프트 윈도우 컴퓨터를 몇몇 변종으로 계속해서 감염시켜왔던 주요한 바이러스중 하나 입니다  

Conficker is also reportedly building a botnet of the infected machines;

Conficker 는 감염된 PC들을 봇넷으로 만들어 왔다고 합니다.

botnets are used to generate spam and launch Distributed Denial Of Service (DDoS) attacks. 

봇넷은 스팸을 만들거나 DDOS어택을 하기 위해서 사용되어 왔습니다.

A report earlier this year by Qualys indicated that 1 in 10 computers running Windows are still vulnerable to Conficker attack i.e., these computers have still not been patched.

올해 Qualys 의 리포트에서는 10대의 컴퓨터중 1대의 윈도우는 Conficker 공격을 받을 수 있는 취약점을 여전히 가지고 있다고 합니다. 이 컴퓨터들은 여전히 패치되지 않고 있죠.

Conficker spreads by exploiting a buffer overflow vulnerability in Windows software while parsing crafted RPC messages (CVE-2008-4250).

Conficker는 윈도우 소프트웨어의 RPC message 버퍼 오버플로우 취약점을 exploit 하여 전파 됩니다. (CVE-2008-4250)

Palo Alto Network’s next-generation firewalls provide a layered approach to security in controlling malware attacks. For Conficker, following levels of security are provided:

팔로알토 네트웍스 차세대 방화벽은 악성코드 공격을 제어하기 위한 단계적인 방안을 제공합니다. Conficker를 제어하기 위한 보안설정 방법은 아래와 같습니다.

• Using App-ID, block “msrpc” application from Internet to Intranet

“msrpc” application identifies Microsoft RPC messages which are used to spread Conficker. For most enterprises, there is no reason to allow RPC messages originating from Internet to the private network.

APP-ID 기능을 이용하여 msrpc 어플리케이션이 인터넷 구간에서 활동하는 것을 블록합니다.

msrpc 어플리케이션은 마이크로소프트 RPC 메세지를 정의한 것이며, 이것은 Conficker를 전파시키는데 사용됩니다. 대부분의 기업들은 인터넷 구간에서 생성된 RPC 메시지를 사설구간으로 허용시킬 이유가 없습니다.

(쳐 막으란 얘기임)

• Using Content-ID IPS signatures, block RPC attack traffic

Threat IDs 32953 and 31922 identify malicious RPC traffic and would block such traffic at the perimeter of the private network thereby protecting the computers in the private network.

컨텐츠 ID의 IPS시그니쳐를 이용하여 RCP 공격 트래픽을 막으십시오.

보안위협 ID 32953과 31922는 악성 RPC 트래픽을 정의하고 있으며, 사설구간 경계의 이와같은 트래픽을 막음으로써 내부망의 컴퓨터들을 보호할 수 있습니다.

• Using Content-ID File Blocking feature, block all DLL downloads from Internet

After compromising a computer using RPC vulnerability, Conficker downloads itself as a malicious DLL file. Using our File Blocking feature, one can stop downloads of DLL files from Internet to Intranet.  Note that the device can still be configured to allow DLL files download from Internet if such a request was made from within Intranet.

컨텐츠 ID의 파일블록킹 기능을 이용하여 외부망으로부터 DLL파일이 다운로드 되는 것을 모두 차단 하십시오.

컴퓨터에서 RPC 취약점이 사용된 후라면, Conficker는 감염된 DLL파일을 스스로 다운로드 합니다. 파일블록킹 피쳐를 이용하면 인터넷 구간에서 상호 DLL 파일이 다운로드 되는것을 차단 할 수 있습니다. 

만약 이런 요청이 인트라넷(내부망?)에서 사용되었다면 DLL파일이 인터넷에서 다운로드 되는 것을 허용하도록 설정 할 수 있습니다. 

• Using Content-ID Antivirus protection, block downloads of malicious DLL files

Our antivirus signatures are not third party developed, but are developed by the same threat team that discovers vulnerabilities in popular software and also releases signatures to protect against them. Our antivirus protection can stop downloads of malicious files and complements the antivirus protection available at endpoints.

컨텐츠 ID의 안티바이러스 피쳐를 이용하여 악성 DLL파일이 다운로드 되는 것을 차단 하십시오.

팔로알토의 안티바이러스 시그니쳐는 써드파트에서 개발된 것이 아닙니다. 사람들에게 잘 쓰여지는 유명한 소프트웨어 취약점에서 발견된 것을 팔로알토의 보안위협 대응팀에서 같이 개발한 것입니다. 물론 릴리즈된 시그니쳐는 이와 같은 것들을 방어 할 수 있겠지요. 팔로알토의 안티바이러스 시그니쳐는 악성파일이 다운로드 되는 것을 차단할 수 있으며, 경계지점(인터넷 구간의 경계지점을 말하는 듯) 의 안티바이러스 방어기능을 보완 할 수 있습니다. 

However, if a computer is already infected with Conficker malware (e.g., employee laptop got infected at home), we can detect Conficker DNS and P2P traffic using spyware signatures.

여하튼 컴퓨터가 이미 Conficker에 감염되어 있다면 (예를 들어 너님의 사원이 집에서 랩탑 쳐 쓰다가 감염되었을 경우) 팔로알토는 스파이웨어 시그니쳐를 이용한 Conficker의 DNS 쿼리 및 P2P 트래픽을 찾아낼 수 있습니다. 

약간의 오역과 반말이 있을 수 있으니 참고 읽으시기 바랍니다. - 텅날개