Подразделение X-Force помогает обеспечивать защиту от новейшей разновидности червя Conficker.C


Исследователи из подразделения IBM X-Force создали специальный алгоритм для продукта IBM Proventia Intrusion Prevention System, который помогает выявлять агентов червя Conficker.C и блокировать их соединения. Алгоритм дополняет уже имеющуюся у клиентов защиту от разновидностей Conficker.A и Conficker.B. Данный защитный алгоритм блокирует распространение вредоносной программы, когда она пытается эксплуатировать уязвимость в службе сервера Windows (MS08-067), и обнаруживает её в случае попытки раскрытия паролей методом перебора.

Conficker – сетевой червь, нацеленный на рабочие станции. Он создает инфраструктуру бот-сетей, которая может быть использована злоумышленниками для распространения спама или для кражи конфиденциальной информации с рабочих станций. Заражение рабочей станции приводит к потере рабочего времени пользователя и возможной последующей компрометации других сетевых объектов.

Распространение данного сетевого червя осуществляется посредством одного или нескольких перечисленных ниже механизмов:

  • Эксплуатация уязвимости в одной из служб Windows (MS08-067).
  • Загрузка своей копии в сеть и на съемные накопители.
  • Загрузка своей копии в сетевые ресурсы общего пользования со слабыми паролями 

Новейший вариант этого червя использует соединения с использованием шифрования. Специалисты X-Force раскрыли и взломали этот алгоритм шифрования, что позволило обеспечить возможность обнаружения. Этот уникальный защитный механизм выявляет текущие варианты червя Conficker, которые используют описанный выше канал для связи. Соответствующие сигнатуры выглядят следующим образом: Conficker_P2P_Detected (для обнаружения бота Conficker.C) и Conficker_P2P_Protection (для блокировки специфического трафика peer-to-peer). Продукты IBM Proventia IPS способны закрыть уязвимость в службе Windows, которую эксплуатирует данный червь. Предупреждение содержит информацию о нужной сигнатуре, необходимой для выявления описываемой уязвимости.

О подразделении IBM Internet Security Systems

Подразделение IBM ISS является одной из ведущих консалтинговых групп по вопросам безопасности, которое работает со многими крупными заказчиками, внедряя лучшие решения и помогая обеспечивать превентивную защиту для всей ИТ-инфраструктуры заказчика. Все специалисты, входящие в состав этого подразделения, имеют профильное образование и многолетний опыт в области информационной безопасности и прошли обучение и сертификацию по направлениям CISSP, CISA, CISM, MCP, QSA, PA-QSA.

Оставьте комментарий