(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Следует ли организациям опасаться трояна Duqu

Источник: expo-itsecurity
Ник Льюис

Лишь немногие события прошлого года получили столько же внимания со стороны СМИ сколько появление вредоноса Duqu. Троян Duqu или как он официально именуется W32.Duqu создает файлы с префиксом "~DQ" в имени файла. Исследователи впервые обнаружив его 14 октября заявили, что он поразительно похож на опасный троян Stuxnet, хотя Duqu был разработан специально для сбора конфиденциальной информации,  а не для разрушения ядерных реакторов как  Stuxnet. Не каждая вредоносная программа должна получать столько внимания как  Stuxnet, как наиболее опасная программа  в природе для многих предприятий и потребителей.  Однако, это не означает что Duqu можно проигнорировать. Этот статья рассматривает Duqu, его возможности и как предприятия должны реагировать на такие потенциальные угрозы как троян Duqu.

Заслуживает ли столько внимания Duqu

Троян Duqu получил такое повышенное внимание со стороны средств массовой информации во многом из-за заявленной связи с Stuxnet. Последние доклады предполагают, что Duqu был разработан той же организацией, однако маловероятно,  что  на том же коде, что Stuxnet. Хотя споры об этом могут еще долго продолжаться среди исследователей в области безопасности, но действительно кажется, что создатели многому научились Duqu у Stuxnet.

Duqu относительно сложный образец вредоносного ПО, однако многие его возможности вполне обычный набор для современных вредоносов. Duqu  разработан для удаленного доступа и кражи информации конкретных организаций и использует для этого такие же методы как и многие другие вредоносные программы. Symantec в своем последнем отчете отмечает как один из наиболее примечательных аспектов Duqu  переадресацию соединения командно-управляющего сервера с другими серверами и комнадно-управляющими компонентами пиринговых сетей, хотя использования пиринговый сетей для управления также не ново.

Уровень угроз Duqu для предприятий представляется весьма низким с тех пор, как он был обнаружен в небольшом количестве организаций. Однако у предприятий с высоким уровнем защиты и дорогостоящими активами есть причины для беспокойства, так как они могут стать мишенью для атак схожих с Duqu. Duqu и Stuxnet могут быть использованы в будущих атаках, но скорее всего злоумышленники будут использовать Duqu в качестве дополнительной тренировки, чтобы избежать обнаружения в будущем при использовании любого основного вредоносного кода связанного с Duqu.

Меры против Duqu

Для того, чтобы предприятию обезопасить себя от атак Duqu, необходимо оценить способна ли система обнаружить  и предотвратить атаку, а также использовать эту информацию как пример для своей команды по реагированию на инциденты информационной безопасности  (Computer Emergency Response Team, CERT). Т.к. атаки становятся все более развитыми и их все сложнее обнаружить, пользуясь традиционными средствами безопасности, то оценка того, как используемые в организации средства защиты информации для обнаружения вредоносного ПО вроде Duqu помогает обеспечить готовность к будущим инцидентам.

Многие признаки Duqu, такие как командно-контрольные связи можно  выявить, используя имеющиеся технологии безопасности. Если на предприятии весь сетевой трафик проходит через IDS (Intrusion Detection System - Система обнаружения вторжений), она может быть использована для анализа исходящей информации или для соединений с серверами. Инструмент DLP способен обнаруживать утечку информации. Предприятия также могут использовать инструмент, предназначенный для управления системой, чтобы инвентаризировать ежедневно все файлы  системы и затем анализировать отличия (также ежедневно) на предмет несанкционированных изменений или использовать инструмент для мониторинга целостности файла, чтобы определить, когда вредоносный файл был вписан в систему.

Использование Duqu в качестве примера для CSIRT помогает предприятию быть готовым к  похожим атакам. Если в процессе реагирования на подобные инциденты найдены недостатки, могут быть исследованы новые системы или источники данных, чтобы убедиться, что предприятие способно обнаружить вредоносную программу. Большинство отчетов о Duqu указывали на то, что эта программа проникала в сеть за много месяцев до ее обнаружения и к этому времени данные, составляющие цель атаки, скорее всего, были уже украдены. Поскольку Duqu использовал уязвимость Microsoft Windows и был заказной вредоносной программой, то не определялся обычными антивирусами и другими антивирусными продуктами - общая проблема для целевых атак. Таким образом, лучший выбор  предприятия для защиты себя от потерь и повреждений от таких атак как Duqu является скорейшее их обнаружение и стратегия реагирования на инциденты. Хотя нельзя утверждать, что быстрое обнаружение и хорошая стратегия реагирования единственный необходимый контроль безопасности, продвинутые  вредоносные программы или хорошо обеспеченный ресурсами злоумышленник потенциально может обойти превентивный контроль безопасности.      

Выводы

Хотя встречаются и гораздо более опасные образцы вредоносного ПО, все-таки несколько ценных уроков можно извлечь из атак Duqu. Предприятиям следует  осуществлять необходимый контроль для защиты своих рабочих станций; несколько предприятий были атакованы Duqu, и еще многие  будут вынуждены столкнуться с тем ил или иным  видом атак, даже если это всего лишь фишинг.   

Прогрессивные техники атак превращаются в товар у которого становится все больше потребителей в хакерской среде. Есть многие виды атак, о которых мы еще и не слышали, однако та информация, которая становится известна должна изучаться организациями, для того, чтобы сделать свою систему безопасности еще надежнее.  С усовершенствованием эксплойтов и их простотой использования, организациям следует осуществлять разумный контроль безопасности всей их инфраструктуры и защищать отдельные особо ценные активы соответствующим образом.

Автор: Ник Льюис

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 24.01.2012 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
dbForge Studio for MySQL Professional license
Quest Software. Toad for SQL Server Development Suite
TeeBI for RAD Studio Suite with source code single license
Symantec Ghost Solution Suite, License, 1-24 Devices
FastReport FMX 2 Single
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Новости ITShop.ru - ПО, книги, документация, курсы обучения
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Программирование на Visual С++
Новости мира 3D-ускорителей
3D и виртуальная реальность. Все о Macromedia Flash MX.
Новые программы для Windows
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Настройка меню "Пуск" Windows 7 при помощи реестра (3)
Скажите пожалуйста, а как можно закрепить ярлыки программ с помощью твиков реестра в левой части...
 
Помощь по MS Access (327)
Доброе время суток. Случайно оказался на этом сайте, искал статьи по OLAP. Вижу, что...
 
Как изменить шрифт Wordpad? (4)
Как изменить шрифт Wordpad по умолчанию? Там Таймс, а мне, допустим, Ариал нужен. Можно ли...
 
Где можно найти «Пакет анализа» для Excel ? (57)
Коллеги, подскажите, где можно скачать надстройку к Excel под названием «Пакет анализа», после...
 
Надстройка "Поиск решения" MS Excel (4)
Помогите решить задачу с помощью " поиск решения" мука яйца ...
 
 
 



    
rambler's top100 Rambler's Top100