Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 31.10.2011, 20:04   #468
просто® Форумчанин™
 
Аватар для Igoranama

 
Регистрация: 29.06.2011
Адрес: Россия Матушка
Сообщений: 2 898

Igoranama вне форума

IT-безопасность-свежие новости.


Ботнет TDL4 перешел на новый этап эволюции


Ведущий научный сотрудник ESET Дэвид Харли сообщил, что за то время, пока он и его сотрудники наблюдали за TDL4, они отметили переход бот-сети на новый этап эволюции.

Эти изменения, отметил он, могут быть сигналом того, что либо команда, разрабатывающая вредоносную программу сменилась, либо что разработчики начали сдавать в аренду буткит-билдер другим группам киберпреступников.

Дроппер ботнета, утверждает он, отсылает массу информации для выслеживания в командно-контрольный сервер во время установки руткита в систему. В случае какой-либо ошибки, по словам Харли, руткит посылает сообщение о комплексной ошибке, что дает разработчикам вредоносного ПО достаточно информации для того, чтобы определить причину неисправности.

Все это, пишет Харли в своем последнем посте, свидетельствует о том, что бот все еще находится в стадии разработки.

"Мы также нашли способ противодействия бот-трекеру на основе виртуальных машин: во время установки вредоносного ПО он проверяет, можно ли в данный момент запустить дроппер в среде виртуальной машины и эта информация отсылается на командно-контрольный сервер. Конечно, вредоносное ПО, которое запускается в виртуальной среде, не представляет из себя ничего необычного в мире современного вредоносного ПО, но в мире TDL это кое-что новое", - говорит он.

Одно из самых интересных направлений эволюции бот-сети, отмечает Infosecurity, это то, что изменилось расположение скрытой файловой системы.

В отличие от предыдущей версии, которая, как пишет Харли, была способна хранить не более 15 файлов - независимо от размера занятого пространства - мощность новой файловой системы ограничивается размером вредоносных разделов.

Файловая система, представленная в последней модификации вредоносной программы, более продвинутая, чем ранее, отметил Харли, добавив, что, например, вредоносное ПО способно обнаружить повреждение файлов, хранящихся в скрытой файловой системе, путем вычисления контрольной суммы CRC32 и сравнивая ее со значением, хранящимся в заголовке файла.

В случае, если файл поврежден, он удаляется из файловой системы.

На Avecto Марк Остин, специалист по Windows, сказал, что удаление прав администратора поможет добавить дополнительный уровень защиты в непрекращающейся борьбе против кодеров-злоумышленников.

"TDL4 – это вредоносный код, который охватывает как аспекты устранения конкурентов, типа Zeus, так и добавления технологий, которые делают обычный шаблонный/эвристический анализ намного более трудным", - объясняет он.

Удаление прав администратора, (любопытная статья аж за 2009 год)
Нажмите чтобы раскрыть спойлер
Отказ от прав администратора в системе закрывает 92% уязвимостей Microsoft

9 из 10 обнаруженных в прошлом году корпорацией Microsoft багов могли бы так и остаться теорией или, по крайней мере, быть куда менее опасными, если бы пользователи работали в Windows без административных прав. Такое мнение было озвучено во вторник представителями компании-разработчика корпоративных средств управления правами BeyondTrust .

По словам ее исполнительного директора Джона Мойера, ущерб от подавляющего большинства (девяноста двух процентов) найденных Microsoft критических уязвимостей можно было бы свести к минимуму, лишив пользователей административных прав доступа. По его убеждению это наглядно иллюстрирует, в каком именно направлении должны действовать предприятия.

Если принимать в расчет все 154 обнаруженных и пропатченных в прошлом году бага, то в 69% случаев их влияние могло бы быть минимизировано простой реконфигурацией, в результате которой пользователи получили бы возможность работать в Windows без прав администратора.

В случае с Internet Explorer и Microsoft Office отказ от административных прав делает менее опасными 89% более ранних и 94% более поздних уязвимостей. По мнению директора по маркетингу BeyondTrust Скотта Мак Карли, эти данные, а также полученная недавно информация об обнаружении уязвимости в функции UAC для Windows 7, со всей очевидностью демонстрируют важность работы с правами стандартного пользователя, а не администратора.
продолжил он, это мощный инструмент, являющийся частью многослойной стратегии IT-безопасности в постоянно ведущейся борьбе с вредоносным ПО во всех его формах и проявлениях.

"Даже если вам, например, "повезло" обнаружить одну или несколько учетных записей, скомпрометированных с помощью фишинг-атаки, тот факт, что учетная(ые) запись(и) ограничены в своих действиях поможет снизить негативный эффект от проблем, связанных с нарушением информационной безопасности", - добавил он.

Такое вредоносное ПО, как это, сказал Остин, почти наверняка развивается, киберпреступники, усовершенствовав некоторые функции, удалив старый код и добавив новые элементы, получают возможности воспользоваться вновь открывшимся направлениями для атак.

"Не надо быть гением, чтобы понять, что победит новое эволюционировавшее поколение вредоносных программ – или, что особенно важно, совершенно новый код вредоносного ПО. Что необходимо, так это тщательно спланированная стратегия, с хорошо продуманной реализацией, использующая несколько элементов безопасности, которые, при их сочетании, дадут больший эффект, чем сумма их компонентов", - отметил он.

"Привилегированное управление учетной записью может существенно помочь IT-специалистам в этом, поскольку станет дополнительным бастионом в их системе обороны. Это часть GRC-управления, концепции анализа рисков и совместимости – система, на которой основывается вся современная система IT¬-управления безопасностью", - добавил он.

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
__________________
Молодость, это одно из средств, чтобы встретить безбедную и беззаботную старость...
http://s017.radikal.ru/i417/1111/21/74a8009ce72c.gif
  Ответить с цитированием
Пользователь сказал cпасибо:
 
Яндекс.Метрика