Лишь немногие события прошлого года получили столько же внимания со стороны СМИ сколько появление вредоноса Duqu. Троян Duqu или как он официально именуется W32.Duqu создает файлы с префиксом "~DQ" в имени файла. Исследователи впервые обнаружив его 14 октября заявили, что он поразительно похож на опасный троян Stuxnet, хотя Duqu был разработан специально для сбора конфиденциальной информации, а не для разрушения ядерных реакторов как Stuxnet. Не каждая вредоносная программа должна получать столько внимания как Stuxnet, как наиболее опасная программа в природе для многих предприятий и потребителей. Однако, это не означает что Duqu можно проигнорировать. Этот статья рассматривает Duqu, его возможности и как предприятия должны реагировать на такие потенциальные угрозы как троян Duqu.
Заслуживает ли столько внимания Duqu
Троян Duqu получил такое повышенное внимание со стороны средств массовой информации во многом из-за заявленной связи с Stuxnet. Последние доклады предполагают, что Duqu был разработан той же организацией, однако маловероятно, что на том же коде, что Stuxnet. Хотя споры об этом могут еще долго продолжаться среди исследователей в области безопасности, но действительно кажется, что создатели многому научились Duqu у Stuxnet.
Duqu относительно сложный образец вредоносного ПО, однако многие его возможности вполне обычный набор для современных вредоносов. Duqu разработан для удаленного доступа и кражи информации конкретных организаций и использует для этого такие же методы как и многие другие вредоносные программы. Symantec в своем последнем отчете отмечает как один из наиболее примечательных аспектов Duqu переадресацию соединения командно-управляющего сервера с другими серверами и комнадно-управляющими компонентами пиринговых сетей, хотя использования пиринговый сетей для управления также не ново.
Уровень угроз Duqu для предприятий представляется весьма низким с тех пор, как он был обнаружен в небольшом количестве организаций. Однако у предприятий с высоким уровнем защиты и дорогостоящими активами есть причины для беспокойства, так как они могут стать мишенью для атак схожих с Duqu. Duqu и Stuxnet могут быть использованы в будущих атаках, но скорее всего злоумышленники будут использовать Duqu в качестве дополнительной тренировки, чтобы избежать обнаружения в будущем при использовании любого основного вредоносного кода связанного с Duqu.
Меры против Duqu
Для того, чтобы предприятию обезопасить себя от атак Duqu, необходимо оценить способна ли система обнаружить и предотвратить атаку, а также использовать эту информацию как пример для своей команды по реагированию на инциденты информационной безопасности (Computer Emergency Response Team, CERT). Т.к. атаки становятся все более развитыми и их все сложнее обнаружить, пользуясь традиционными средствами безопасности, то оценка того, как используемые в организации средства защиты информации для обнаружения вредоносного ПО вроде Duqu помогает обеспечить готовность к будущим инцидентам.
Многие признаки Duqu, такие как командно-контрольные связи можно выявить, используя имеющиеся технологии безопасности. Если на предприятии весь сетевой трафик проходит через IDS (Intrusion Detection System - Система обнаружения вторжений), она может быть использована для анализа исходящей информации или для соединений с серверами. Инструмент DLP способен обнаруживать утечку информации. Предприятия также могут использовать инструмент, предназначенный для управления системой, чтобы инвентаризировать ежедневно все файлы системы и затем анализировать отличия (также ежедневно) на предмет несанкционированных изменений или использовать инструмент для мониторинга целостности файла, чтобы определить, когда вредоносный файл был вписан в систему.
Использование Duqu в качестве примера для CSIRT помогает предприятию быть готовым к похожим атакам. Если в процессе реагирования на подобные инциденты найдены недостатки, могут быть исследованы новые системы или источники данных, чтобы убедиться, что предприятие способно обнаружить вредоносную программу. Большинство отчетов о Duqu указывали на то, что эта программа проникала в сеть за много месяцев до ее обнаружения и к этому времени данные, составляющие цель атаки, скорее всего, были уже украдены. Поскольку Duqu использовал уязвимость Microsoft Windows и был заказной вредоносной программой, то не определялся обычными антивирусами и другими антивирусными продуктами - общая проблема для целевых атак. Таким образом, лучший выбор предприятия для защиты себя от потерь и повреждений от таких атак как Duqu является скорейшее их обнаружение и стратегия реагирования на инциденты. Хотя нельзя утверждать, что быстрое обнаружение и хорошая стратегия реагирования единственный необходимый контроль безопасности, продвинутые вредоносные программы или хорошо обеспеченный ресурсами злоумышленник потенциально может обойти превентивный контроль безопасности.
Выводы
Хотя встречаются и гораздо более опасные образцы вредоносного ПО, все-таки несколько ценных уроков можно извлечь из атак Duqu. Предприятиям следует осуществлять необходимый контроль для защиты своих рабочих станций; несколько предприятий были атакованы Duqu, и еще многие будут вынуждены столкнуться с тем ил или иным видом атак, даже если это всего лишь фишинг.
Прогрессивные техники атак превращаются в товар у которого становится все больше потребителей в хакерской среде. Есть многие виды атак, о которых мы еще и не слышали, однако та информация, которая становится известна должна изучаться организациями, для того, чтобы сделать свою систему безопасности еще надежнее. С усовершенствованием эксплойтов и их простотой использования, организациям следует осуществлять разумный контроль безопасности всей их инфраструктуры и защищать отдельные особо ценные активы соответствующим образом.
Автор: Ник Льюис