Сетевые черви прошлого десятилетия встречаются и сейчас

в 8:32, , рубрики: вирусный анализ, информационная безопасность, метки:

Казалось бы, цикл жизни сетевых червей недолог — с момента обнаружения до выпуска обновлений сигнатур антивирусными производителями проходит от нескольких часов до нескольких недель, обновление программного обеспечения и устранение в нем уязвимостей, с помощью которых черви осуществляют заражение, также не занимает много времени. Однако это не так, последние исследования производителей сетевых средств обнаружения и предотвращения вторжений (IDS/IPS) показали, что сетевые черви даже прошлого десятилетия до сих пор обнаруживаются повсеместно.

Исследователи из HP изучили около 35 миллиарда событий, сгенерированных устройствами HP TippingPoint IPS по всему миру, в промежутке с 2007 по 2012 год. Анализу подверглись около 1000 клиентов HP по всему миру.
Было установлено, что актуальные в прошлом десятилетии сетевые черви обнаруживают свою сетевую активность до сих пор. Так сетевой червь SQL Slammer, появившийся в 2003 году, был замечен в указанный период в сотни раз чаще многих других угроз и около 2% (около 42 миллионов срабатываний правил) от всех обнаруженных угроз занимает именно он. Более чем у 50% клиентов HP TippingPoint IPS были обнаружены активности червя Slammer, у 46% обнаружены следы червя Nimda (2001 год), у 31.4% — различные модификации трояна Back Orifice (1998-2004 года), 8.29% — червь Storm (2007 год) и 2.29% — червь Code Red (2001 год).
Активность червей обнаруживается как во входящем (попытки заражения из вне), так и в исходящем трафике (попытки распостранения червей с зараженных компьютеров в ЛВС). Даже организации, активно занимающиеся информационной безопасностью, располагающие аппаратными средствами обнаружения вторжений, не в силах полностью справиться с защитой рабочих мест.
Скорее всего, причина этого феномена в том, что в компаниях с большим количеством рабочих мест очень часто компьютеры не обновляются десятилетиями и внутренние службы IT просто не в силах поддерживать в актуальном состоянии версии программного обеспечения и средств защиты информации. Несложно представить большую не-IT компанию, в которой на многих должностях сидят одни и те же люди, работают в одной и той же среде и никто не задумывается ни об обновлении аппаратного обеспечения, ни об обновлении ПО. Я думаю в Российских реалиях ситуация аналогична.

Подробнее об исследовании — Dark Reading — What The IPS Saw, автор Kelly Jackson Higgins.

Автор: Magir

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js