Referensi gambar: Conficker on World Wide Map
Conficker adalah Malicious Software (Malware) bertipe worm yang cukup legendaris. Worm ini memulai debut pada November 2008, setahun setelah cyberwar pertama kali lahir, yaitu di Estonia (2007 cyberattacks on Estonia). Ia dengan cepat menginfeksi 15 juta mesin di dunia. Bahkan hingga kini worm ini masih hidup disekitar kita (Remember Conficker? It’s still around). Tahun 2015 lalu, upaya pembersihan jaringan conficker global dibahas di “24th USENIX Security Forum Washington DC” dengan paper berjudul Conficker Cleanup After Six Years.
Untuk mengatasi penyebaran worm ini, berbagai vendor security terkemuka membentuk Conficker Working Group yang disponsori oleh Department of Homeland Security Amerika Serikat. Beberapa peneliti bahkan berteori bahwa worm ini merupakan state sponsored experiment.
Menurut TJ O’Connor (pakar cybersecurity dan penulis buku Violent Python) worm ini bekerja dengan menggunakan dua attack vector sekaligus. Maksudnya, apabila gagal dalam satu serangan akan dilakukan serangan berikutnya.
- Attack vector pertama adalah dengan menggunakan zero day eksploit pada Microsoft Windows 2000, Windows XP (32 dan 64 bit), Windows 2003 Server, Windows Vista, serta Windows Server 2008 (32 dan 64 bit) sehingga dapat melakukan Remote Code Execution (Microsoft Security Bulletin MS08-067 – Critical).
- Attack vector kedua adalah dengan melakukan brute force attack terhadap user account pada SMB services. Attack vector kedua ini dilakukan, apabila korban telah melakukan patch terhadap mesinnya.
Kita akan coba memahami dan mempelajari bagaimana conficker bekerja berdasarkan kedua attack vector tersebut pada beberapa artikel berikut ini.
Py-Sec[dot]org 