Следует ли организациям опасаться трояна Duqu

Источник: expo-itsecurity
Ник Льюис

Лишь немногие события прошлого года получили столько же внимания со стороны СМИ сколько появление вредоноса Duqu. Троян Duqu или как он официально именуется W32.Duqu создает файлы с префиксом "~DQ" в имени файла. Исследователи впервые обнаружив его 14 октября заявили, что он поразительно похож на опасный троян Stuxnet, хотя Duqu был разработан специально для сбора конфиденциальной информации,  а не для разрушения ядерных реакторов как  Stuxnet. Не каждая вредоносная программа должна получать столько внимания как  Stuxnet, как наиболее опасная программа  в природе для многих предприятий и потребителей.  Однако, это не означает что Duqu можно проигнорировать. Этот статья рассматривает Duqu, его возможности и как предприятия должны реагировать на такие потенциальные угрозы как троян Duqu.

Заслуживает ли столько внимания Duqu

Троян Duqu получил такое повышенное внимание со стороны средств массовой информации во многом из-за заявленной связи с Stuxnet. Последние доклады предполагают, что Duqu был разработан той же организацией, однако маловероятно,  что  на том же коде, что Stuxnet. Хотя споры об этом могут еще долго продолжаться среди исследователей в области безопасности, но действительно кажется, что создатели многому научились Duqu у Stuxnet.

Duqu относительно сложный образец вредоносного ПО, однако многие его возможности вполне обычный набор для современных вредоносов. Duqu  разработан для удаленного доступа и кражи информации конкретных организаций и использует для этого такие же методы как и многие другие вредоносные программы. Symantec в своем последнем отчете отмечает как один из наиболее примечательных аспектов Duqu  переадресацию соединения командно-управляющего сервера с другими серверами и комнадно-управляющими компонентами пиринговых сетей, хотя использования пиринговый сетей для управления также не ново.

Уровень угроз Duqu для предприятий представляется весьма низким с тех пор, как он был обнаружен в небольшом количестве организаций. Однако у предприятий с высоким уровнем защиты и дорогостоящими активами есть причины для беспокойства, так как они могут стать мишенью для атак схожих с Duqu. Duqu и Stuxnet могут быть использованы в будущих атаках, но скорее всего злоумышленники будут использовать Duqu в качестве дополнительной тренировки, чтобы избежать обнаружения в будущем при использовании любого основного вредоносного кода связанного с Duqu.

Меры против Duqu

Для того, чтобы предприятию обезопасить себя от атак Duqu, необходимо оценить способна ли система обнаружить  и предотвратить атаку, а также использовать эту информацию как пример для своей команды по реагированию на инциденты информационной безопасности  (Computer Emergency Response Team, CERT). Т.к. атаки становятся все более развитыми и их все сложнее обнаружить, пользуясь традиционными средствами безопасности, то оценка того, как используемые в организации средства защиты информации для обнаружения вредоносного ПО вроде Duqu помогает обеспечить готовность к будущим инцидентам.

Многие признаки Duqu, такие как командно-контрольные связи можно  выявить, используя имеющиеся технологии безопасности. Если на предприятии весь сетевой трафик проходит через IDS (Intrusion Detection System - Система обнаружения вторжений), она может быть использована для анализа исходящей информации или для соединений с серверами. Инструмент DLP способен обнаруживать утечку информации. Предприятия также могут использовать инструмент, предназначенный для управления системой, чтобы инвентаризировать ежедневно все файлы  системы и затем анализировать отличия (также ежедневно) на предмет несанкционированных изменений или использовать инструмент для мониторинга целостности файла, чтобы определить, когда вредоносный файл был вписан в систему.

Использование Duqu в качестве примера для CSIRT помогает предприятию быть готовым к  похожим атакам. Если в процессе реагирования на подобные инциденты найдены недостатки, могут быть исследованы новые системы или источники данных, чтобы убедиться, что предприятие способно обнаружить вредоносную программу. Большинство отчетов о Duqu указывали на то, что эта программа проникала в сеть за много месяцев до ее обнаружения и к этому времени данные, составляющие цель атаки, скорее всего, были уже украдены. Поскольку Duqu использовал уязвимость Microsoft Windows и был заказной вредоносной программой, то не определялся обычными антивирусами и другими антивирусными продуктами - общая проблема для целевых атак. Таким образом, лучший выбор  предприятия для защиты себя от потерь и повреждений от таких атак как Duqu является скорейшее их обнаружение и стратегия реагирования на инциденты. Хотя нельзя утверждать, что быстрое обнаружение и хорошая стратегия реагирования единственный необходимый контроль безопасности, продвинутые  вредоносные программы или хорошо обеспеченный ресурсами злоумышленник потенциально может обойти превентивный контроль безопасности.      

Выводы

Хотя встречаются и гораздо более опасные образцы вредоносного ПО, все-таки несколько ценных уроков можно извлечь из атак Duqu. Предприятиям следует  осуществлять необходимый контроль для защиты своих рабочих станций; несколько предприятий были атакованы Duqu, и еще многие  будут вынуждены столкнуться с тем ил или иным  видом атак, даже если это всего лишь фишинг.   

Прогрессивные техники атак превращаются в товар у которого становится все больше потребителей в хакерской среде. Есть многие виды атак, о которых мы еще и не слышали, однако та информация, которая становится известна должна изучаться организациями, для того, чтобы сделать свою систему безопасности еще надежнее.  С усовершенствованием эксплойтов и их простотой использования, организациям следует осуществлять разумный контроль безопасности всей их инфраструктуры и защищать отдельные особо ценные активы соответствующим образом.

Автор: Ник Льюис


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=27942