Охота за «Красным Октябрем»

Речь пойдет не о культовом фильме с Шоном Коннери в главной роли, а о последнем примере применения кибероружия в разведывательных целях, который был обнаружен Лабораторией Касперского и который был анонсирован ее специалистами в понедельник. Я уже успел даже прокомментировать этот ролик на телевидении, но моя заметка не о природе этого вредоносного кода, не о его авторах и даже не о том, как он работает. Речь пойдет о том, как с ним бороться.

По мнению экспертов Лаборатории Касперского расширяемая и многофункциональная платформа, используемая для кражи конфиденциальной и секретной информации, использует 4 известные уязвимости:

  • CVE-2009-3129 — Microsoft Office Excel Featheader Record Processing Arbitrary Code Execution Vulnerability
  • CVE-2010-3333 — Microsoft Office Rich Text Format Content Processing Buffer Overflow Vulnerability
  • CVE-2012-0158 — Microsoft MSCOMCTL.OCX ActiveX Control Remote Code Execution Vulnerability
  • CVE-2011-3544 — Oracle Java Applet Rhino Script Engine arbitrary code execution vulnerability.

Аналитики нашего исследовательского центра Cisco Security Intelligence Operations (SIO) разработали целый набор защитных мероприятий, которые могут быть реализованы с помощью различных решений Cisco в области информационной безопасности. Для первых двух уязвимостей известных еще с 2009-го и 2010-го годов мы выпустили бюллетени об уязвимостях:

соответствующие рекомендации по отражению указанных угроз:

а также 4 сигнатуры для решений Cisco от обнаружению и предотвращению вторжений Cisco IPS — 22083-0, 21920-0, 31239-1 и 31239-0.

Для борьбы с новой уязвимостью, позволяющей удаленное выполнение кода и описанной в бюллетене Microsoft MS12-027: Vulnerability in Windows Common Controls Could Allow Remote Code Execution мы также провели целый ряд исследований, результатом которых стал выпуск соответствующих бюллетений, рекомендация и сигнатур:

При этом в последнем случае идентифицировать данную угрозу и бороться с ней можно не только с помощью Cisco IPS, но и с помощью сертифицированных в ФСТЭК маршрутизаторов Cisco IOS с Netflow, сертифицированных в ФСТЭК межсетевых экранов Cisco ASA, Cisco ASA SM и Cisco FWSM для Catalyst 6500, а также с помощью Cisco ACE. Последняя уязвимость в реализации Java, используемая в одном из командных серверов «Красного Октября», также описана нами в соответствующем бюллетене. Все эти рекомендации и сигнатуры уже доступны для пользователей Cisco и могут быть загружены с нашего портала по информационной безопасности Cisco SIO.

Указанные ресурсы для борьбы с «Красным Октябрем» — это только один пример активности экспертов Cisco SIO, в круглосуточном режиме работающих для защиты информационных систем и сетей наших заказчиков. На уже упомянутом выше портале вы сможете регулярно получать информацию следующего характера:

  • Event Responses (реакция на событие) обеспечивает информацию о событиях ИБ, которые могут иметь потенциально серьезные последствия для устройств, приложений и сетей заказчиков.
  • Applied Mitigation Bulletins (бюллетень о проявлении уязвимостей в продуктах Cisco) обеспечивает описание технологий для обнаружения и отражения уязвимостей в продуктах Cisco.
  • IPS Signatures (сигнатуры IPS) создаются для обнаружения и блокирования угроз ИБ с помощью Cisco IPS.
  • IntelliShield Alerts (бюллетень IntelliShield) включает вендорнезависимое «раннее предупреждение» об угрозе, ее анализ и разбор потенциальных последствий.
Реклама

One Response to Охота за «Красным Октябрем»

  1. Уведомление: Дайджест ИБ за 14 – 20 января 2013 года от ISM:МАРКЕТ | Around Cyber

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s