マルウェア対策ツール。 ウイルス対策プログラムの品質を決定する要因

・ 使用 OS、重要なファイルがユーザーの知らないうちに変更されるのを防ぎます。

アップデートをタイムリーにインストールします。

· 自動更新モードがある場合は、それを有効にします。

· プロプライエタリ ソフトウェアの場合: ライセンスされたコピーを使用します。 バイナリの更新はクラッカーと競合することがあります。

マルウェアの検出にシグネチャ方式を使用するウイルス対策製品に加えて、脅威に対するプロアクティブな保護を提供するソフトウェアを使用します (プロアクティブな保護を使用する必要があるのは、シグネチャ ウイルス対策はまだ発見されていない新しい脅威を認識できないためです)に含まれる ウイルス対策データベース)。 ただし、その使用にはユーザーに多くの経験と知識が必要です。

· 管理者ではなく、ユーザーの権限のみでパーソナル コンピュータ上で常に作業を行ってください。これにより、ほとんどの悪意のあるプログラムがパーソナル コンピュータにインストールされたり、システム設定が変更されたりすることがなくなります。 しかし、これでは個人データをマルウェア (トロイの木馬クリッカー、トロイの木馬 DDoS、トロイの木馬ダウンローダー、トロイの木馬ランサム (ファイル暗号化)、トロイの木馬スパイ、 トロイの木馬.キーロガー) およびユーザー ファイルにアクセスできる潜在的に迷惑なプログラム (アドウェア、デマ) が制限されています。 アカウント書き込みと読み取りの権限を持っています (たとえば、 ホームディレクトリ- GNU/Linux の /home サブディレクトリ、 ドキュメントと設定 Windows XP では「ユーザー」フォルダー、Windows 7 では「ユーザー」フォルダー)、ファイルの書き込みと読み取りを許可するフォルダー、またはユーザー インターフェイス (スクリーンショットを撮るためのプログラムやキーボード レイアウトを変更するためのプログラムなど)。

許可されていない人によるコンピュータへの物理的アクセスを制限します。

動作中のコンピュータ上で信頼できるソースからの外部メディアのみを使用してください。

信頼できないソースから受信したコンピュータ ファイルを、動作しているコンピュータ上で開かないでください。

からのインターネットへのアクセスを制御するファイアウォール (ハードウェアまたはソフトウェア) を使用します。 パソコンユーザー自身が設定したポリシーに基づきます。

· 2 台目のコンピュータ (仕事用ではない) を使用して、第三者にとって重要な貴重な情報が含まれていない信頼性の低いソースからのプログラムを実行します。

· 重要な情報を外部メディアにバックアップし、コンピュータから取り外します。

5. 主要なウイルス対策プログラムの特徴と目的(ノートン、カスペルスキー)

Kaspersky Antivirus (AntivirusKaspersky) - Kaspersky Lab によって開発されたアンチウイルス。 Kaspersky Lab は、ロシアで最も有名なウイルス対策、スパム、ハッカー保護システムのメーカーです。 セキュリティ システム市場で 10 年以上働いています。 非常に信頼性が高く、 効果的なプログラムマルウェアと戦うため。

Kaspersky Anti-Virus (AntivirusKaspersky) は、次のコンポーネントで構成されています。

1. ファイル アンチウイルスは、コンピュータのファイル システムを制御するコンポーネントです。 コンピューター上で開かれ、起動され、保存されたすべてのファイルがチェックされます。

2. Mail Anti-Virus は、コンピュータ上のすべての送受信メール メッセージをスキャンするコンポーネントです。

3. Web アンチウイルスは、Web サイト上にあるスクリプトが脅威となる場合に、そのスクリプトの実行を傍受してブロックするコンポーネントです。

4. プロアクティブ防御 - 新しい悪意のあるプログラムが害を及ぼす前に検出できるコンポーネントです。 したがって、コンピュータは既知のウイルスだけでなく、まだ調査されていない新しいウイルスからも保護されます。

Kaspersky Anti-Virus の主な機能:

– 既知および新たなインターネットの脅威に対する 3 つのレベルの保護: シグネチャ データベース チェック、ヒューリスティック アナライザー、および動作ブロッカー。

– ウイルス、トロイの木馬、ワームに対する保護。

- ファイル、メール、インターネットのトラフィックをリアルタイムでチェックします。

– ICQ および他の IM クライアントを使用する場合のウイルスからの保護。

– あらゆる種類のキーロガーに対する保護。

– あらゆる種類のルートキットの検出。

– データベースの自動更新。

SymantecNortonAntiVirus - 製品 アメリカの会社シマンテック。 シマンテックは、エンドユーザーが最も重要な資産である情報のセキュリティ、可用性、整合性を維持できるように支援するアプリケーション、アプライアンス、およびサービスの世界的リーダーです。 最大規模の国際的なウイルス対策テストで繰り返し賞を受賞。 Norton Antivirus には優れたインターフェイスと便利な設定があります。

NortonAntiVirus は、コンピュータのメモリ内に常駐し、メモリの監視やディスク ファイルのスキャンなどのタスクを実行する単一のモジュールで構成されています。 プログラムのコントロールと設定へのアクセスは、対応するタブとボタンを使用して実行されます。

PC をウイルスから守るために、Auto-Protect を常に有効にする必要があります。 Auto-Protect は、PC を中断することなくバックグラウンドで実行されます。

NortonAntiVirus の主な機能:

- ウイルスとスパイウェアを検出して削除します。

– スパイウェアを自動的にブロックします。

– 感染した電子メールの送信を許可しません。

– ウイルス、スパイウェア、トロイの木馬を認識してブロックします。

– ルートキットの脅威を検出し、オペレーティング システムに隠れた脅威を排除します。

– インターネットワーム防御機能:検査機能 Eメールそしてインスタントメッセージ。

– システムの完全なスキャンにより、徹底的な分析を実施し、見つかったウイルス、スパイウェア、その他の脅威を除去できます。

結論

このペーパーでは、マルウェアの主要部分を概説し、分類を検討し、さまざまな脅威に対抗する方法を特定します。

ウイルス対策プログラムの使用、安全なローカル ネットワークの作成、ウイルスの侵入が禁止されているサイトへのフィルターのインストールは、コンピューター クラスでの悪意のあるソフトウェアからの保護に適しています。

参考文献

PC のウイルス対策保護。 「ティーポット」からユーザーへ: Alexander Zhadaev - サンクトペテルブルク、BHV-Petersburg、2010 - 224 p。

ウイルス対策: P. P. Alekseev、A. P. Korsh、R. G. Prokdi - サンクトペテルブルク、科学と技術、2010 - 80 p。

コンピュータを保護する方法 (+ CD-ROM): Vasily Leonov - サンクトペテルブルク、Eksmo、2010 - 240 p.

100% コンピューターを保護します。 クラッシュ、エラー、ウイルス: Peter Tashkov - モスクワ、サンクトペテルブルク、2011 - 288 p.

コンピューター ウイルスとウイルスとの戦い: A. V. ミハイロフ - サンクトペテルブルク、Dialog-MEPhI、2011 - 104 p。

コンピューター ウイルスと戦うためのテクノロジー: S. V. Goshko - サンクトペテルブルク、Solon-Press、2011 - 352 p.

マルウェア対策方法

マルウェアと戦う主な方法は、医療と同様、タイムリーな予防です。 コンピュータの予防には、「コンピュータの衛生管理」のルールを遵守することが含まれており、これにより、感染やデータの損失の可能性を大幅に減らすことができます。 個々のコンピュータおよびネットワーク上で使用する際の基本的な動作ルールを理解し、これに厳密に従うことは、コンピュータの侵入者から身を守る重要な方法です。 合計すると、個人ユーザーと企業ユーザーの両方に当てはまる基本的なルールが 3 つあります。

  • 1. ウイルス対策保護の使用が必須。コンピュータ セキュリティの分野の専門家でない場合は、信頼性の高いウイルス対策保護とネットワーク攻撃に対する保護 (ファイアウォール) を使用し、セキュリティを専門家に任せることをお勧めします。 最新のウイルス対策プログラムのほとんどは、ウイルス、ワーム、トロイの木馬、アドウェアなど、さまざまなコンピューターの脅威から保護します。 統合されたセキュリティ ソリューションは、スパム、ネットワーク攻撃、望ましくない危険なインターネット リソースへのアクセスに対するフィルターも適用します。
  • 2. コンピュータに送られるすべての情報を信頼すべきではありません。 電子メール、Web サイトへのリンク、インスタント メッセンジャーへのメッセージ。 不明なソースからのファイルやリンクは絶対に開かないでください。 感染のリスクは組織的な対策によっても軽減されます。 このような措置には、個人と企業の両方のユーザーの作業に対するさまざまな制限が含まれます。たとえば、次のとおりです。
    • インターネットポケットベルの使用の禁止。
    • 限られた数の Web ページのみにアクセスできます。
    • 企業の内部ネットワークをインターネットから物理的に切断し、専用のコンピュータを使用してインターネットにアクセスするなど。

残念ながら、厳しい制限措置は、各ユーザーの希望や企業のビジネス プロセスと矛盾する可能性があります。 このような場合にはバランスをとる必要がありますが、そのバランスは個々のケースで異なる場合があります。

3. 十分な注意が必要ですウイルス対策会社やコンピュータ セキュリティの専門家からの情報。 彼らは通常、新しいタイプのインターネット詐欺、新しいウイルスの脅威、伝染病などをタイムリーに報告します。 - そのような情報にもっと注意を払ってください。

ウイルス対策プログラムの品質を決定する要因

ウイルス対策プログラムの品質は、いくつかの要因によって決まります。 重要な順にリストします。

  • 1. 信頼性と使いやすさ - ウイルス対策の「フリーズ」や、ユーザーの特別なトレーニングを必要とするその他の技術的問題がないこと。
  • 2. すべての一般的なタイプのウイルスの検出品質、文書/スプレッドシート ファイル、パック ファイルおよびアーカイブ ファイルの内部スキャン。 「誤検知」はありません。 感染したオブジェクトを消毒する機能。
  • 3. 主要な一般的なプラットフォーム (DOS、Windows、Linux など) 用のウイルス対策バージョンの存在。
  • 4. オンザフライでスキャンする機能。
  • 5. ネットワークを管理できるサーバー バージョンの存在。
  • 6.仕事のスピード。


残念ながら、コンピュータ ユーザーなら誰でもウイルスやマルウェアに遭遇したことがあります。 これが何を脅かすかは言及する価値はありません。少なくとも、すべてのデータが失われ、ディスクのフォーマットとシステムの再インストールに時間を費やす必要があります。 したがって、無用なトラブルを避けるためには、トラブルを防止することが最善です。 ことわざにもあるように、予防は治療よりも優れています。

1.ソーシャルネットワークでメッセージを開くときの注意



覚えておくべきルールの 1 つは、メッセージを開く前にメッセージを確認すると、ウイルスを回避できる可能性が大幅に高まるということです。 何かが疑わしく、理解できないファイルがメッセージに添付されている場合は、そのファイルを決して開かないでください (または、少なくともウイルス対策ソフトでスキャンしてください)。

2. 最新のウイルス対策ソフトウェア



ISP が提供するウイルス対策だけでは、コンピュータ システム全体をウイルスやスパイウェアから保護するのに十分ではありません。 このため、設定する方が良いです 追加の保護マルウェアから。

3. 毎日のコンピュータースキャン


ウイルス対策プログラムやマルウェア対策ツールをインストールしたとしても、ハード ドライブのスキャンを毎日実行して、システムにウイルスが 1 つも侵入していないことを確認することをお勧めします。 実際、毎日、大量のウイルスを「捕まえる」ことができます。 唯一の方法被害を軽減するには、毎日のファイル スキャンが必要です。

4. アバストの無料アンチウイルス


アバスト アンチウイルスの作成者は、このプログラムの作業を最大限に簡素化しました。 必要なのは、いくつかのボタンを押すだけです。 同時に、アバストは、トロイの木馬とワームの両方のウイルスに対して十分な保護を提供します。

5. スーパーアンチスパイウェア


SUPERAntiSpyware は、包括的なウイルス対策ソフトです。 スパイウェア、アドウェア、トロイの木馬、ワーム、キーロガー、ルートキットなどと戦うために使用できます。 ただし、コンピュータの速度が低下することはありません。

6. ファイアウォール


これは、すべてのコンピュータ ユーザーが理解しておくべき基本的なルールです。 ファイアウォールの使用は、インターネット ワームをトラップするのには効果的ではありませんが、ユーザーの内部ネットワーク (オフィス ネットワークなど) からの潜在的な感染と戦う上では依然として非常に重要です。

7. AVG インターネット セキュリティ


この保護は家庭用および商業用に最適で、インターネット セキュリティの専門家による支援が含まれていることでも注目に値します。 常に更新されており、高度な機能が搭載されています。 AVG インターネット セキュリティは、ウイルス、スパイウェア、トロイの木馬と戦うために使用でき、個人情報の盗難やその他の Web エクスプロイトの防止にも役立ちます。

8.Avira AntiVir


Avira は、ウイルスの残留ファイルなどのマルウェアを削除するための改良された方法を提供します。 ただし、このプログラムの偽バージョンがインターネット上で出回っているため、ユーザーは注意する必要があります。 Avira は、簡素化された直感的なユーザー インターフェイスも備えています。

9.カスペルスキー インターネット セキュリティ


このウイルス対策ソフトには、基本的に、コンピュータ ユーザーがインターネットを安全かつ確実に操作するために必要なものがすべて含まれています。 職場での取引の安全性を確保し、オンライン購入やオンライン ゲームなどの銀行取引を処理するために使用できます。

10. 広告認識およびアバストフリー


Ad-Aware は無料のウイルス対策保護を提供します。 同時にインストールできるように特別に設計されています。 グーグルクロームですが、他のブラウザでも動作する可能性があります。 Windows 上でマルウェアが自動的に実行されるのを防ぎ、コンピューターをクリーンアップするのに効果的です。

11.ESETオンラインスキャナー


効果的なマルウェア対策ソリューションとして、ESET Online Scanner は文字通りすべてを含むプレミアム セキュリティ パッケージを提供します。 また、すでに感染したマシンを駆除し、オンライン ファイアウォールを使用する方法も知っています。

すべてのマルウェアに対して 100% の保護はありません。Sasser や Conficker のようなエクスプロイトから免れる人は誰もいません。 マルウェアの暴露による損失のリスクを軽減するには、次のことをお勧めします。

マルウェアに対する深刻なレベルの保護を備えた最新のオペレーティング システムを使用します。

パッチを適時にインストールします。 自動更新モードがある場合は、それを有効にします。

管理者ではなく、ユーザーの権限のみでパーソナル コンピュータ上で常に作業を行うため、ほとんどの悪意のあるプログラムがパーソナル コンピュータにインストールされることはありません。

マルウェアに対抗するために、いわゆるヒューリスティック (動作) アナライザーを使用する特殊なソフトウェア製品を使用します。つまり、シグネチャ ベースを必要としません。

署名データベースが自動更新される、有名メーカーのウイルス対策ソフトウェア製品を使用します。

ユーザーが設定したポリシーに基づいてパーソナル コンピュータからインターネットへのアクセスを制御するパーソナル ファイアウォールを使用します。

許可されていない人によるコンピュータへの物理的アクセスを制限します。

信頼できるソースからの外部メディアのみを使用してください。

信頼できないソースから受け取ったコンピュータ ファイルを開かないでください。

リムーバブル メディアからの自動実行を無効にします。これにより、ユーザーが知らないうちにメディア上のコードが実行されることはなくなります (Windows の場合は、gpedit が必要です。msc -> 管理用テンプレート (ユーザー構成) -> システム -> 自動実行を無効にする -> 有効「すべてのドライブ上」) 。

現代の防御手段 様々な形態マルウェアには、「良い」アプリケーションと「悪い」アプリケーションを検出するための多くのソフトウェア コンポーネントと方法が含まれています。 現在、ウイルス対策製品ベンダーは、「スパイウェア」やその他の悪意のあるコードを検出するスキャナーをプログラムに組み込んでおり、エンド ユーザーを保護するためにあらゆることが行われています。 ただし、完璧なスパイウェア対策パッケージはありません。 ある製品はプログラムに近づきすぎて、「クリーンアップ」や定期的に使用する便利なユーティリティなど、少しでも疑わしいプログラムをブロックしてしまう可能性があります。 別の製品はソフトウェアに対してより耐性がありますが、一部のスパイウェアが漏洩する可能性があります。 したがって、残念ながら万能薬はありません。

「Virus Bulletin」などの専門家が実施する専門的なテストでウイルス検出の 100% の有効性が定期的に示されているウイルス対策パッケージとは異なり、90% を超えるスコアを獲得したアドウェア対策パッケージはなく、他の多くの製品は 70% から 80% の間のスコアを示しています。 。

これは、たとえばウイルス対策プログラムとスパイウェア対策プログラムを同時に使用する理由を説明します。 一番いい方法予期せぬ危険に対して包括的なシステム保護を提供します。 実際には、1 つのパッケージはコンピューターの電源を入れるたびに読み込まれる永続的な「ブロッカー」として使用する必要があり (AVP 6.0 など)、別のパッケージ (またはそれ以上) は追加の機能を提供するために少なくとも週に 1 回実行する必要があります。スキャン (例: Ad-Aware)。 したがって、あるパケットが見逃したものを、別のパケットが検出できるようになります。

マルウェアはインターネットとともに進化しています。 以前はそのようなプログラムの動作が破壊的であったとしても、今日ではマルウェアはコンピュータ システムのリソースを自らの目的のために使用するために「感染」の事実を隠そうとします。

ボットネットは、悪意のあるソフトウェア (以下、マルウェアと呼びます) に「感染」したネットワーク ホストの集合です。 このソフトウェアは、ユーザーにとっては気づかないうちに、いわゆる「もの」と接触しています。 コマンドの受信/情報の送信を目的としたC&C (Command and Control)。 ボットネットの一般的な用途は、スパムの送信、DDoS 攻撃の実行、機密情報 (銀行口座、クレジット カード番号など) の窃取です。

ホストは、電子メールの添付ファイル、サービスの脆弱性、ダウンロードされたファイルなど、さまざまな方法で「感染」します。 最も一般的な方法はドライブバイダウンロード (ユーザーには見えない Web サイトからマルウェアをダウンロードする) です。 マルウェアが何らかの方法でホストに到達すると、通常、隣接するステーションに「感染」しようとします。 したがって、異種環境では、伝播が非常に早く発生する可能性があります。

企業ネットワークも例外ではなく、これらの脅威は家庭用 PC と同様に企業ネットワークにも関係します。
1 ESG APT 調査 2011 年 10 月
2 ポネモン第 2 回サイバーテロの年間コスト調査、2011 年 8 月
3 カスペルスキー研究所による調査。 2011年
4 ソフォス 2011 セキュリティ脅威レポート

ツール

提案されたソリューションは製品に基づいています Check Point アンチボット ソフトウェア ブレード。 Anti-bot Software Blade は、Check Point Security Gateway ソフトウェア バージョン R75.40 以降に含まれています。

SPAN ポートからトラフィックを収集するモニタリング モードでもインストールできます。 2 番目のオプションは次の場合に便利です。 初期特定のネットワークにおける脅威の程度 (感染したホストの割合など) を判断する必要がある場合。

使用されている技術

保護の組織における重要な要素は次の 2 つです。 情報構造チェック・ポイントによって提供される: ThreatCloudリポジトリThreatSpect エンジン.

ThreatCloud は、感染したネットワーク ホストを特定するために使用される分散情報ストレージです。

ストレージには、複数のソースから取得したデータが詰め込まれています。 まず第一に、これは世界中に配置された広範なセンサーのネットワークです。 データは、Anti-Bot Software Blade がアクティブになっている Check Point デバイス自体からも収集されます。 追加情報はパートナー企業から提供されます。 彼らは情報と評判の IP/DNS/URL を交換します。

アップデートのもう 1 つのソースは、マルウェア インスタンスの研究 (特にリバース エンジニアリング) に従事している Check Point 部門です。 この部門は、隔離された環境におけるマルウェアの動作を分析します。 分析の結果得られた情報はThreatCloudにアップロードされます。

ThreatCloud に含まれる情報は、ボットが C&C と通信するために使用するアドレスと DNS 名のセットです。 また、さまざまなマルウェア ファミリの動作シグネチャやセンサーから受信した情報も含まれています。

ThreatSpect Engine は、ネットワーク トラフィックを分析し、受信したデータを関連付けてボットや他の種類のマルウェアのアクティビティを検出する分散マルチレベル コンピューティング システムです。

分析はいくつかの方向で実行されます。

  • 評判- 組織内にあるホストがアクセスしようとしている URL、IP アドレス、およびドメイン名の評判を分析します。 C などの既知のリソースまたは不審なアクティビティを探します。
  • シグネチャ分析– 脅威の存在は、ファイルまたはネットワーク アクティビティ内で一意のシグネチャを検索することによって判断されます。
  • 不審な電子メール活動– 送信メールトラフィックを分析することによる感染ホストの検出。
  • 行動分析– 感染の事実を示す、宿主の行動における固有のパターンの検出。 たとえば、特定のプロトコルの下での C&C への呼び出しの固定頻度。

ThreatSpect と ThreatCloud は連携します - ThreatSpect は分析用の情報を ThreatCloud から受け取り、分析と相関付けの後、受け取ったデータをシグネチャおよびレピュテーション データベースの形式で分散ストレージにロードし直します。

このテクノロジーの主な利点は、実際に、マルウェアの活動に関する情報のグローバル データベースがリアルタイムで更新されるという事実です。 したがって、このシステムの参加者の 1 人のネットワークでホストの大規模な感染が発生した場合、ThreatCloud を介して攻撃に関する情報が他の参加者に送信されます。 これにより、多くの企業のネットワーク上でのマルウェアの急速な拡散を制限できます。

脅威を特定するために使用される方法

Anti-Bot Software Blade の機能は、すでに感染しているステーションを特定し、そこからの被害を最小限に抑えることを目的としていることを理解する必要があります。 このソリューションは感染を防ぐことを目的としたものではありません。 これらの目的には、他の手段を使用する必要があります。

不審なアクティビティを検出するには、次の方法が使用されます。

  • アドレスとドメイン名の識別 C&C– 住所は常に変更されるため、リストを最新の状態に保つことが重要です。 これは、Check Point ThreatCloud インフラストラクチャを使用して実現されます。
  • パターンの識別さまざまなマルウェア ファミリによる通信に使用されます。各マルウェア ファミリには、それを識別できる独自のパラメータがあります。 独自の署名を形成するために各家族に対して研究が行われます。
  • 行動による識別– たとえば、DDoS 攻撃に参加したときやスパムを送信したときなど、その動作を分析することによる感染したステーションの検出。

Anti-Bot Software Blade によって記録されたインシデントは、SmartConsole コンポーネントである SmartView Tracker と SmartEvent を使用して分析されます。 SmartView Tracker は、Anti-Bot Blade をトリガーしたトラフィックに関する詳細情報を提供します。 SmartEvent には、イベントに関するより詳細な情報が含まれています。 さまざまなカテゴリごとにグループ化することができ、長期間にわたるセキュリティ イベントを分析してレポートを生成することもできます。

脅威を防ぐために使用される方法

Anti-Bot Software Blade は、脅威を検出するだけでなく、感染したホストによって引き起こされる可能性のある損害を防ぐことができます。

感染したホストが C&C に接続して指示を受け取ろうとする試みをブロックします。 この動作モードは、Anti-Bot Software Blade が有効になっている (インライン モード) 状態でトラフィックがゲートウェイを通過する場合にのみ使用できます。

次の 2 つの独立したブロック方法が使用されます。

  • 既知のアドレスに送信されるトラフィックのブロック C
  • DNS トラップは、DNS シンクホール技術の実装です。 ブロックは、感染したホストが C&C にアクセスするために使用するドメイン名を解決しようとすると発生します。 DNS サーバーの応答では、IP アドレスが架空のアドレスに置き換えられるため、感染したホストに対する C&C へのリクエストを送信できなくなります。

一般に、情報はキャッシュから取得されますが、利用可能なシグネチャによって一意に識別されない不審なアクティビティが検出された場合、Anti-Bot Software Blade は ThreatCloud に対してリアルタイムのクエリを実行します。

信頼性の分類と評価

セキュリティ イベントのワークフロー

Anti-Bot Software Blade によって収集された情報は、2 つの SmartConsole アプリケーションによって処理されます。 Smart View トラッカースマートイベント。 SmartEvent には別のブレード (SmartEvent Software Blade) が必要なので、分析での使用を強くお勧めします。

Anti-Bot Software Blade イベントを分析するときは、まず、同じソース IP を持つトラフィック上の複数のトリガーと、一定の周期で発生するトリガーに注意する必要があります。
多くの点で、状況はボット プログラムの動作モデルに依存します。
たとえば、原始的なタイプのマルウェアは、C&C 名を解決しようとして頻繁に DNS 呼び出しを実行します。 同時に、SmartEvent には同じソース IP を持つ類似したイベントが多数含まれており、イベントはサーバーへのリクエスト内の DNS 名によってのみ互いに​​異なります。

また、異なる送信元 IP での同じ種類のマルウェアの複数の単一検出にも注意する必要があります。 この分析方法が効果的である理由は、 マルウェアは通常、ローカル ネットワーク上の他の脆弱なホストに拡散しようとします。 企業環境の場合、これは特に当てはまり、ウイルス対策ソフトウェアを含むソフトウェア セットはワークステーション上で同じであることがよくあります。 上のスクリーンショットは、1 種類のマルウェアの大量検出を示しています。 同様の状況では、リストからいくつかのマシンを選択してチェックする必要があります。

Anti-Bot Software Blade はマルウェアに感染したホストのアクティビティを検出してブロックするのに役立ちますが、ほとんどの場合、受信した情報の追加分析が必要です。 すべての種類のマルウェアを簡単に識別できるわけではありません。 インシデントに対処するには、パケット追跡を調査し、マルウェア活動を検出する資格のある専門家が必要です。 Anti-Bot Software Blade は、マルウェア活動の監視を自動化する強力なツールです。

発見後のアクション

まず、Check Point が提供する Threat Wiki データベースを使用する必要があります。
脅威が関連する場合は、ベンダーが推奨する手順を使用する必要があります。

また、ホストの感染を確認するには、Google を使用してマルウェアを名前で検索すると、このマルウェアの技術的な詳細を見つけることができる可能性があり、マルウェアを正確に特定するのに役立ちます。 たとえば、「Juasek」という名前 (名前は Anti-Bot Software Blade イベントから取られています) を検索すると、シマンテックの Web サイトでこのマルウェアに関する多くの情報が表示されます。 削除手順の説明も含まれています。

マルウェアの研究が目的ではない場合は、1 つ以上のマルウェア削除ツールを使用できます。 最も人気のあるのは、Malwarebytes、Kaspersky、Microsoft の製品です。

実際の使用結果

以下は、組織内のトラフィックを毎日監視した結果です。 このスイッチは、DNS サーバーとプロキシ サーバーに向かうユーザー セグメントの 1 つのトラフィックをミラーリングしました。 Check Point SmartEvent ソフトウェアを使用して生成されたレポート。

Antibot の実用化に関する統計

日中、Antibot レポートには 1712 件のイベントが含まれており、そのうち 134 件は固有のホストでした。コンピュータのランダム スキャンの結果です。

記事の評価:
1つ星2つ星3つ星4つ星5つ星(まだ評価はありません)
読み込み中...
友人たちと分ける:
類似の投稿