Охота за “Красным Октябрем”


Блог Алексея Лукацкого, бизнес-консультанта компании Cisco

по вопросам информационной безопасности

Вниманию редакций: при использовании этого материала просим ссылаться

на веб-страницу
http://blogs.cisco.ru/2013/01/16/redoctober/

            Речь дальше пойдет не об одноименном культовом фильме с Шоном Коннери в главной роли, а о последнем примере применения кибероружия в разведывательных целях, который был обнаружен «Лабораторией Касперского», о чем ее специалисты объявили 14 января. Я уже прокомментировал это на телевидении, а сейчас хочу порассуждать не о природе и создателях Red October и даже не о том, как он работает. Речь пойдет о том, как с этим вредоносным кодом бороться.

По мнению экспертов «Лаборатории Касперского», расширяемая и многофункциональная платформа, используемая для кражи конфиденциальной и секретной информации, использует 4 известные уязвимости:

    CVE-2009-3129 – Microsoft Office Excel Featheader Record Processing Arbitrary Code Execution Vulnerability
    CVE-2010-3333 – Microsoft Office Rich Text Format Content Processing Buffer Overflow Vulnerability
    CVE-2012-0158 – Microsoft MSCOMCTL.OCX ActiveX Control Remote Code Execution Vulnerability
    CVE-2011-3544 – Oracle Java Applet Rhino Script Engine arbitrary code execution vulnerability.

Аналитики исследовательского центра Cisco Security Intelligence Operations (SIO) разработали целый набор защитных мероприятий, которые могут быть реализованы с помощью различных решений Cisco в области информационной безопасности. В отношении первых двух уязвимостей, известных еще с 2009-го и 2010-го годов, мы выпустили бюллетени с рекомендациями по отражению соответствующих угроз:

    Vulnerability Alert: Microsoft Office Excel Featheader Record Processing Arbitrary Code Execution Vulnerability
    Vulnerability Alert: Microsoft Office Rich Text Format Content Processing Buffer Overflow Vulnerability

    Applied Mitigation Bulletin: Microsoft Security Bulletin Release for November 2010
    Applied Mitigation Bulletin: Microsoft Security Bulletin Release for November 2009, –

а также 4 сигнатуры для решений Cisco по обнаружению и предотвращению вторжений Cisco IPS: 22083-0, 21920-0, 31239-1 и 31239-0.

В целях борьбы с новой уязвимостью, позволяющей удаленное выполнение кода (описана в бюллетене Microsoft MS12-027: Vulnerability in Windows Common Controls Could Allow Remote Code Execution), мы также провели целый ряд исследований, выпустив затем соответствующие бюллетени, рекомендации и сигнатуры:

    Vulnerability Alert: Microsoft MSCOMCTL.OCX ActiveX Control Remote Code Execution Vulnerability
    Event Response: Microsoft Security Bulletin Release for April 2012
    Applied Mitigation Bulletin: Microsoft Security Bulletin Release for April 2012
    Cisco IPS Signature 1131-0.

В последнем случае идентифицировать угрозу и бороться с ней можно не только с помощью Cisco IPS, но и с помощью сертифицированных в ФСТЭК маршрутизаторов Cisco IOS с Netflow, сертифицированных в ФСТЭК межсетевых экранов Cisco ASA, Cisco ASA SM и Cisco FWSM для Catalyst 6500, а также с помощью Cisco ACE. Последняя уязвимость в реализации Java, используемая одним из командных серверов Red October, также описана нами в соответствующем бюллетене. Все эти рекомендации и сигнатуры доступны  пользователям Cisco и могут быть загружены с нашего портала по информационной безопасности Cisco SIO.

Вышеупомянутые ресурсы для борьбы с Red October –  лишь один пример деятельности специалистов Cisco SIO, в круглосуточном режиме обеспечивающих защиту информационных систем и сетей наших заказчиков. На указанном выше портале можно регулярно получать информацию следующего характера:

    Event Responses (реакция на событие) обеспечивает информацию о событиях ИБ, которые потенциально могут иметь серьезные последствия для устройств, приложений и сетей заказчиков.
    Applied Mitigation Bulletins (бюллетень о проявлении уязвимостей в продуктах Cisco) содержит описание технологий для обнаружения и отражения уязвимостей в продуктах Cisco.
    IPS Signatures (сигнатуры IPS) создаются для обнаружения и блокирования угроз ИБ с помощью Cisco IPS.
    IntelliShield Alerts (бюллетень IntelliShield) включает вендорнезависимое “раннее предупреждение” об угрозе, ее анализ и разбор потенциальных последствий.


Рекомендуем также почитать на нашем сайте:



Новости наших партнеров: