Instrumente anti-malware. Factorii care determină calitatea programelor antivirus

· utilizarea sisteme de operare care împiedică modificarea fișierelor importante fără știrea utilizatorului;

· instalați actualizările în timp util;

· dacă există un mod de actualizare automată, activați-l;

· pentru software proprietar: utilizați copii licențiate. Actualizările binare uneori intră în conflict cu crackerele;

· pe lângă produsele antivirus care utilizează metode bazate pe semnătură pentru a căuta malware, utilizați software care oferă protecție proactivă împotriva amenințărilor (necesitatea de a utiliza protecție proactivă este determinată de faptul că un antivirus bazat pe semnătură nu detectează noi amenințări care au nu a fost încă adăugat la baze de date antivirus). Cu toate acestea, utilizarea sa necesită multă experiență și cunoștințe din partea utilizatorului;

· lucrați în mod constant pe un computer personal exclusiv cu drepturi de utilizator, și nu ca administrator, ceea ce nu va permite ca majoritatea programelor rău intenționate să fie instalate pe un computer personal și să modifice setările sistemului. Dar acest lucru nu va proteja datele personale de cele rău intenționate (Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Ransom (criptarea fișierelor), Trojan-Spy, troian.Keylogger) și programe potențial nedorite (Adware, Hoax) care au acces la fișierele utilizator care sunt restricționate cont are permisiunea de scriere și citire (de exemplu, directorul principal- /home subdirectoare în GNU/Linux, Documente și setăriîn Windows XP, folderul Utilizatori în Windows 7), în orice foldere în care fișierele pot fi scrise și citite sau în interfața cu utilizatorul (cum ar fi programele pentru realizarea de capturi de ecran sau modificarea aspectului tastaturii);

· restricționarea accesului fizic la computer al persoanelor neautorizate;

· utilizați medii de stocare externe numai din surse de încredere pe computerul dvs. de lucru;

· nu deschideți fișierele de computer primite din surse nesigure pe computerul dvs. de lucru;

· utilizați un firewall (hardware sau software) care controlează accesul la Internet de la computer personal pe baza politicilor stabilite de utilizator însuși;

· Utilizați un al doilea computer (nu pentru lucru) pentru a rula programe din surse nesigure care nu conțin informații valoroase de interes pentru terți;

· copia de rezervă a informațiilor importante pe un suport extern și deconectați-l de la computer.

5. Caracteristicile și scopul principalelor programe antivirus (Norton, Kaspersky)

Kaspersky Antivirus (AntivirusKaspersky) - antivirus dezvoltat de Kaspersky Lab. Kaspersky Lab este cel mai faimos producător de sisteme de protecție împotriva virușilor, spam-ului și atacurilor hackerilor din Rusia. Operează pe piața sistemelor de securitate de mai bine de 10 ani. Foarte de încredere și program eficient pentru a combate programele malware.

Kaspersky Anti-Virus (AntivirusKaspersky) constă din următoarele componente:

1. File Anti-Virus este o componentă care controlează sistemul de fișiere al computerului. Verifică toate fișierele deschise, lansate și salvate pe computer.

2. Mail Anti-Virus - o componentă care scanează toate mesajele e-mail primite și trimise de pe computer.

3. Web Anti-Virus este o componentă care interceptează și blochează execuția unui script aflat pe un site web dacă reprezintă o amenințare.

4. Protecție proactivă - o componentă care vă permite să detectați un nou program rău intenționat înainte ca acesta să aibă timp să provoace rău. Astfel, computerul este protejat nu numai de viruși deja cunoscuți, ci și de alții noi care nu au fost încă studiati.

Principalele funcții ale Kaspersky Anti-Virus:

– are trei niveluri de protecție împotriva amenințărilor internet cunoscute și noi: scanare împotriva bazelor de date de semnături, un analizor euristic și un blocant comportamental;

– protectie impotriva virusilor, troienilor si viermilor;

– verificarea în timp real a fișierelor, a e-mailurilor și a traficului de internet;

– protecție împotriva virușilor atunci când lucrați cu ICQ și alți clienți IM;

– protecție împotriva tuturor tipurilor de keylogger;

– detectarea tuturor tipurilor de rootkit-uri;

– actualizare automată a bazei de date.

SymantecNortonAntiVirus - produs companie americană Symantec. Symantec este lider global în aplicații, dispozitive și servicii care ajută utilizatorii finali să asigure securitatea, disponibilitatea și integritatea celui mai important bun al lor - informații. A câștigat în mod repetat premii la cele mai mari teste internaționale antivirus. Norton Antivirus are o interfață plăcută și setări convenabile.

NortonAntiVirus constă dintr-un singur modul care se află permanent în memoria computerului și efectuează sarcini precum monitorizarea memoriei și scanarea fișierelor de pe disc. Accesul la controalele și setările programului se face folosind filele și butoanele corespunzătoare.

Auto-Protect ar trebui să fie întotdeauna activat pentru a vă proteja computerul de viruși. Auto-Protect funcționează în fundal fără a vă întrerupe computerul.

Caracteristici cheie ale NortonAntiVirus:

– găsește și elimină viruși și spyware;

– blochează automat programele spion;

– nu permite trimiterea de e-mailuri infectate;

– recunoaște și blochează viruși, spyware și troieni;

– detectează amenințările de tip Rootkit și elimină amenințările ascunse în sistemul de operare;

– Funcția de protecție a viermilor de internet: funcție de inspecție e-mailși mesaje instantanee;

– o scanare completă a sistemului vă permite să efectuați o analiză amănunțită și să eliminați virușii, programele spyware și alte amenințări găsite

CONCLUZIE

Această lucrare subliniază partea principală a malware-ului, discută clasificarea și identifică modalități de combatere a diferitelor amenințări.

Utilizarea programelor antivirus, crearea unei rețele locale sigure, instalarea de filtre pe site-uri interzise din care pot pătrunde virușii, este potrivită pentru protejarea împotriva software-ului rău intenționat într-o clasă de calculatoare.

REFERINȚE

Protecție antivirus pentru PC. De la „ceainic” la utilizator: Alexander Zhadayev - Sankt Petersburg, BHV-Petersburg, 2010 - 224 p.

Antivirusuri: P. P. Alekseev, A. P. Korsh, R. G. Prokdi - St. Petersburg, Science and Technology, 2010 - 80 p.

Cum să vă protejați computerul (+ CD-ROM): Vasily Leonov - Sankt Petersburg, Eksmo, 2010 - 240 p.

100% protectie computer. Eșecuri, erori și viruși: Petr Tashkov - Moscova, Sankt Petersburg, 2011 - 288 p.

Virușii informatici și lupta împotriva lor: A. V. Mikhailov - Sankt Petersburg, Dialog-MEPhI, 2011 - 104 p.

Tehnologii pentru combaterea virușilor informatici: S. V. Goshko - Sankt Petersburg, Solon-Press, 2011 - 352 p.

Metode anti-malware

Principala metodă de combatere a malware-ului, ca în medicină, este prevenirea în timp util. Prevenirea computerului presupune respectarea regulilor de „igiena computerului”, care pot reduce semnificativ probabilitatea de infectare și pierdere a oricăror date. Înțelegerea și respectarea cu strictețe a regulilor de bază de conduită atunci când utilizați un computer individual și în rețea este o metodă importantă de protecție împotriva intrușilor de computer. Există trei reguli de bază care sunt valabile atât pentru utilizatorii individuali, cât și pentru cei corporativi.

  • 1. Utilizarea obligatorie a protecției antivirus. Dacă nu sunteți un expert în domeniul securității computerelor, atunci este mai bine să utilizați protecție antivirus fiabilă și protecție împotriva atacurilor de rețea (firewall) - încredințați-vă securitatea profesioniștilor. Majoritatea programelor antivirus moderne protejează împotriva unei game largi de amenințări informatice - viruși, viermi, cai troieni și adware. Soluțiile de securitate integrate filtrează, de asemenea, împotriva spam-ului, atacurilor de rețea și vizitelor la resurse de Internet nedorite și periculoase.
  • 2. Nu ar trebui să aveți încredere în toate informațiile care vin pe computer - e-mailuri, link-uri către site-uri web, mesaje către pagere de internet. Nu ar trebui să deschideți fișiere și link-uri care provin dintr-o sursă necunoscută. Riscul de infectare este redus și prin măsuri organizatorice. Astfel de măsuri includ diverse restricții asupra muncii utilizatorilor, atât persoane fizice, cât și corporative, de exemplu:
    • interzicerea utilizării paginilor de internet;
    • acces numai la un număr limitat de pagini web;
    • deconectarea fizică a rețelei interne a întreprinderii de la Internet și utilizarea computerelor dedicate pentru a accesa Internetul etc.

Din păcate, măsurile restrictive stricte pot intra în conflict cu dorințele fiecărui utilizator individual sau cu procesele de afaceri ale întreprinderii. În astfel de cazuri, este necesar să se caute un echilibru, iar în fiecare caz individual acest echilibru poate fi diferit.

3. Ar trebui să acordați suficientă atenție pentru informații de la companiile antivirus și experții în securitatea computerelor. De obicei, ei raportează cu promptitudine noi tipuri de fraudă pe internet, noi amenințări cu virusuri, epidemii etc. - acordați mai multă atenție acestor informații.

Factorii care determină calitatea programelor antivirus

Calitatea unui program antivirus este determinată de mai mulți factori; Le enumerăm în ordinea importanței.

  • 1. Fiabilitate și ușurință în utilizare - fără înghețari antivirus sau alte probleme tehnice care necesită instruire specială din partea utilizatorului.
  • 2. Calitatea detectării virușilor de toate tipurile obișnuite, scanarea în interiorul fișierelor/tabelelor de documente, fișierelor împachetate și arhivate. Fără „false pozitive”. Posibilitatea tratarii obiectelor infectate.
  • 3. Existența versiunilor antivirus pentru principalele platforme populare (DOS, Windows, Linux etc.).
  • 4. Posibilitate de scanare din mers.
  • 5. Existenta versiunilor de server cu capacitatea de a administra reteaua.
  • 6. Viteza de lucru.


Din păcate, orice utilizator de computer a întâlnit viruși și programe malware. Ce amenință acest lucru nu merită menționat - cel puțin, toate datele se vor pierde și va trebui să petreceți timp formatând discul și reinstalând sistemul. Deci, pentru a evita bătăi de cap inutile, ar fi mai bine să o preveniți. După cum se spune, este mai bine să previi decât să vindeci.

1. Aveți grijă când deschideți mesaje pe rețelele sociale



O regulă de reținut este că vă puteți îmbunătăți considerabil șansele de a evita virușii examinând mesajele înainte de a le deschide. Dacă ceva pare suspect și există fișiere ciudate atașate mesajului, nu ar trebui să le deschideți deloc (sau cel puțin să le scanați cu un antivirus).

2. Antivirus actual



Antivirusurile oferite de furnizorii de servicii de internet nu sunt suficiente pentru a vă proteja întregul sistem computerizat de viruși și spyware. Din acest motiv, este mai bine să instalați protectie suplimentara de malware.

3. Scanați-vă computerul zilnic


În ciuda instalării programelor anti-virus și anti-malware, este totuși cel mai bine să efectuați o scanare zilnică a hard diskului pentru a vă asigura că niciun virus nu a pătruns în sistem. De fapt, în fiecare zi poți „prinde” o grămadă de viruși, deci singura cale Scanarea zilnică a fișierelor va reduce daunele.

4. Antivirus gratuit Avast


Creatorii antivirusului Avast au simplificat la maximum lucrul cu acest program. Este nevoie doar să apăsați câteva butoane. În același timp, Avast oferă suficientă protecție împotriva virușilor - atât troieni, cât și viermi.

5. SUPERAntiSpyware


SUPERAntiSpyware este un antivirus all-inclusive. Poate fi folosit pentru a combate spyware, adware, troieni, viermi, keylogger, rootkit-uri etc. Cu toate acestea, nu va încetini computerul.

6. Firewall


Aceasta este o regulă de bază pe care toți utilizatorii de computere ar trebui să o înțeleagă. Deși utilizarea unui firewall nu este eficientă pentru a prinde viermi de Internet, este totuși foarte important să combateți potențialele infecții din rețeaua internă a unui utilizator (de exemplu, o rețea de birou).

7. AVG Internet Security


Această protecție este ideală pentru uz casnic și comercial și se remarcă prin faptul că include asistență din partea experților în securitate pe internet. Este actualizat constant și are funcții avansate. AVG Internet Security poate fi utilizat pentru a combate virușii, programele spion și troienii și poate ajuta, de asemenea, la prevenirea furtului de identitate și a altor exploatări web.

8. Avira AntiVir


Avira oferă o modalitate îmbunătățită de a elimina programele malware, inclusiv reziduurile de viruși. Cu toate acestea, utilizatorii ar trebui să fie atenți, deoarece o versiune falsă a programului este vehiculată pe Internet. Avira are, de asemenea, o interfață de utilizator simplificată și intuitivă.

9. Kaspersky Internet Security


Acest antivirus conține în esență tot ceea ce trebuie să aibă un utilizator de computer pentru a funcționa în siguranță și fiabil pe Internet. Poate fi folosit pentru a securiza tranzacțiile în timpul lucrului, procesând tranzacții bancare, inclusiv achiziții online și jocuri online.

10. Ad-Aware și Avast-Free


Ad-Aware oferă protecție antivirus gratuită. A fost creat special pentru instalare simultană cu Google Chrome, dar poate funcționa și cu orice alt browser. Este eficient în prevenirea rulării automate a programelor malware pe Windows și în curățarea computerului.

11. ESET Online Scanner


Pentru o soluție eficientă anti-malware, ESET Online Scanner oferă un pachet de securitate premium care include literalmente totul. De asemenea, știe să curețe mașinile deja infectate și să folosească un firewall online.

Nu există protecție 100% împotriva tuturor programelor malware: nimeni nu este imun la exploit-uri precum Sasser sau Conficker. Pentru a reduce riscul pierderilor din cauza programelor malware, vă recomandăm:

utilizați sisteme de operare moderne care au un nivel serios de protecție împotriva programelor malware;

instalați patch-uri în timp util; dacă există un mod de actualizare automată, activați-l;

lucrează în mod constant pe un computer personal exclusiv cu drepturi de utilizator și nu ca administrator, ceea ce nu va permite instalarea majorității programelor rău intenționate pe un computer personal;

utilizați produse software specializate care utilizează așa-numitele analizoare euristice (comportamentale) pentru a contracara malware-ul, adică cele care nu necesită o bază de semnătură;

utilizați produse software antivirus de la producători cunoscuți, cu actualizarea automată a bazelor de date de semnături;

utilizați un firewall personal care controlează accesul la Internet de pe un computer personal pe baza politicilor stabilite de utilizator;

restricționați accesul fizic la computer de către persoane neautorizate;

utilizați medii externe numai din surse de încredere;

nu deschideți fișierele de computer primite din surse nesigure;

dezactivați rularea automată de pe mediile amovibile, ceea ce nu va permite rularea codurilor care se află pe el fără știrea utilizatorului (pentru Windows aveți nevoie de gpedit. msc->Șabloane administrative (Configurație utilizator) ->Sistem->Dezactivați executarea automată->Activat "pe toate conduce").

Mijloace moderne de protecție împotriva diverse forme Programele malware includ multe componente software și metode pentru detectarea aplicațiilor „bune” și „rele”. Astăzi, furnizorii de antivirus integrează scanere în programele lor pentru a detecta programele spion și alte coduri rău intenționate, astfel încât totul este făcut pentru a proteja utilizatorul final. Cu toate acestea, niciun pachet anti-spyware nu este perfect. Un produs poate fi prea aproape de programe, blocându-le la cea mai mică suspiciune, inclusiv „curățarea” utilităților utile pe care le utilizați în mod regulat. Un alt produs este mai prietenos cu software-ul, dar poate permite trecerea unor programe spyware. Deci, din păcate, nu există panaceu.

Spre deosebire de pachetele antivirus, care în mod regulat au un punctaj de eficiență de 100% la detectarea virușilor în testele profesionale efectuate de experți, cum ar fi Virus Bulletin, niciun pachet anti-adware nu obține scoruri peste 90% și multe alte produse au un punctaj între 70% și 80%.

Aceasta explică de ce folosirea, de exemplu, a unui program antivirus și a unui program antispyware în același timp în cel mai bun mod posibil oferă o protecție completă a sistemului împotriva pericolelor care pot apărea în mod neașteptat. Practica arată că un pachet ar trebui să fie folosit ca „blocator” permanent, care este încărcat de fiecare dată când computerul este pornit (de exemplu, AVP 6.0), în timp ce un alt pachet (sau mai multe) ar trebui să fie rulat cel puțin o dată pe săptămână pentru a oferi suplimentar scanare (de ex. Ad-Aware). Astfel, ceea ce un pachet ratează, altul poate detecta.

Programele malware evoluează odată cu Internetul. Dacă anterior acțiunile unor astfel de programe erau distructive, astăzi malware-ul încearcă să ascundă faptul „infectării” pentru a utiliza resursele sistemului informatic în propriile scopuri.

Un botnet este o colecție de gazde de rețea care au fost „infectate” cu software rău intenționat (denumit în continuare malware). Acest software contactează așa-numitul neobservat de către utilizator. C&C (Comandă și Control) în scopul primirii comenzilor/trimiterii de informații. Utilizările tipice ale botnet-urilor includ trimiterea de spam, efectuarea de atacuri DDoS, furtul de informații sensibile (conturi bancare, numere de card de credit etc.).

„Infectarea” unei gazde are loc în mai multe moduri: printr-un atașament la un e-mail, printr-o vulnerabilitate de serviciu, printr-un fișier descărcat etc. Cea mai comună metodă este descărcarea drive-by (descărcarea de programe malware de pe un site web, care apare neobservată de utilizator). După ce malware ajunge pe gazdă într-un fel sau altul, de regulă, au loc încercări de „infectare” a stațiilor vecine. Astfel, într-un mediu eterogen, propagarea poate avea loc foarte rapid.

Rețelele corporative nu fac excepție; aceste amenințări sunt la fel de relevante pentru ele ca și pentru computerele de acasă.
1 Sondaj ESG APT octombrie 2011
2 Ponemon al doilea studiu anual privind costul terorismului cibernetic august 2011
3 Cercetare de laborator Kaspersky. 2011
4 Sophos Security Threat Report 2011

Instrumente

Soluția propusă se bazează pe produs Check Point Anti-bot Software Blade. Software-ul anti-bot Blade este inclus cu versiunea software Check Point Security Gateway R75.40 și o versiune ulterioară.

Instalarea este posibilă și în modul de monitorizare, când traficul este colectat din portul SPAN. A doua opțiune este convenabilă de utilizat stadiu inițial, atunci când este necesar să se determine gradul de amenințare într-o anumită rețea, de exemplu, procentul de gazde infectate.

Tehnologii folosite

Elementele cheie în organizarea protecției sunt două structurilor informaţionale oferit de Check Point: Depozitul ThreatCloudŞi Motorul ThreatSpect.

ThreatCloud este o stocare distribuită de informații care este utilizată pentru a identifica gazdele de rețea infectate.

Stocarea este plină cu date primite din mai multe surse. În primul rând, aceasta este o rețea extinsă de senzori care se află în întreaga lume. Datele sunt, de asemenea, colectate de la dispozitivele Check Point, pe care este activat software-ul Blade Anti-Bot. Informații suplimentare sunt furnizate de companiile partenere. Informațiile și reputațiile IP/DNS/URL sunt schimbate cu aceștia.

O altă sursă de actualizări este divizia Check Point, care este angajată în cercetarea (în special în inginerie inversă) a instanțelor de malware. Această unitate analizează comportamentul malware-ului într-un mediu izolat. Informațiile obținute în urma analizei sunt încărcate pe ThreatCloud.

Informațiile conținute în ThreatCloud sunt un set de adrese și nume DNS care sunt folosite de roboți pentru a comunica cu C&C. De asemenea, conține semnături comportamentale ale diferitelor familii de malware și informații primite de la senzori.

ThreatSpect Engine este un sistem de calcul distribuit pe mai multe niveluri care analizează traficul de rețea și corelează datele primite pentru a detecta activitatea botului, precum și alte tipuri de malware.

Analiza se realizează în mai multe direcții:

  • Reputaţie– este analizată reputația URL-urilor, adreselor IP și numelor de domenii pe care gazdele situate în cadrul organizației încearcă să le acceseze. Se face o căutare pentru resurse cunoscute sau activități suspecte, cum ar fi accesarea C
  • Analiza semnăturii– prezența unei amenințări este determinată de căutarea semnăturilor unice în fișiere sau în activitatea de rețea;
  • Activitate suspectă prin e-mail– detectarea gazdelor infectate prin analiza traficului de e-mail de ieșire;
  • Analiza comportamentală– detectarea tiparelor unice în comportamentul gazdei, care indică faptul infecției. De exemplu, o frecvență fixă ​​de apeluri către C&C folosind un protocol specific.

ThreatSpect și ThreatCloud lucrează împreună - ThreatSpect primește informații pentru analiză de la ThreatCloud și, după analiză și corelare, încarcă datele primite înapoi în stocarea distribuită sub formă de semnături și baze de date de reputație.

Principalul avantaj al tehnologiei este faptul că, în esență, avem o bază de date globală cu informații despre activitatea malware, actualizată în timp real. Astfel, dacă în rețeaua unuia dintre participanții acestui sistem are loc o infecție masivă a gazdelor, informațiile despre atac prin ThreatCloud sunt trimise altor participanți. Acest lucru vă permite să limitați răspândirea rapidă a programelor malware în rețelele multor companii.

Metode utilizate pentru identificarea amenințării

Trebuie înțeles că funcționalitatea Anti-Bot Software Blade are ca scop identificarea stațiilor deja infectate și reducerea la minimum a daunelor cauzate de acestea. Această soluție nu este menită să prevină infecția. În aceste scopuri, ar trebui folosite alte mijloace.

Următoarele metode sunt utilizate pentru a detecta activitățile suspecte:

  • Identificarea adreselor C&C și a numelor de domenii– adresele se schimbă constant, de aceea este important să păstrați lista la zi. Acest lucru se realizează folosind infrastructura Check Point ThreatCloud;
  • Identificarea modelului, folosit în comunicare de către diferite familii de malware - fiecare familie de malware are propriii parametri unici prin care poate fi identificat. Se efectuează cercetări pe fiecare familie pentru a forma semnături unice;
  • Identificarea prin comportament– detectarea unei stații infectate prin analizarea comportamentului acesteia, de exemplu, atunci când participați la un atac DDoS sau trimiteți spam.

Incidentele înregistrate de Anti-Bot Software Blade sunt analizate folosind componentele SmartConsole: SmartView Tracker și SmartEvent. SmartView Tracker oferă informații detaliate despre traficul care a declanșat Anti-Bot Blade. SmartEvent conține informații mai detaliate despre evenimente. Puteți grupa pe diverse categorii există și posibilitatea de a analiza evenimentele de securitate pe o perioadă lungă și de a genera rapoarte.

Metode utilizate pentru prevenirea amenințării

Pe lângă detectarea amenințărilor, Anti-Bot Software Blade este capabil să prevină daunele pe care le pot provoca gazdele infectate.

Încercările gazdei infectate de a contacta C&C și de a primi instrucțiuni de la acesta sunt blocate. Acest mod de operare este disponibil numai atunci când traficul trece printr-un gateway cu Blade software Anti-Bot activat (mod inline).

Sunt utilizate două metode independente de blocare:

  • Blocarea traficului care este direcționat către o adresă cunoscută C
  • DNS Trap este o implementare a tehnicii DNS sinkhole. Blocarea are loc atunci când se încearcă rezolvarea unui nume de domeniu care este folosit de gazdele infectate pentru a accesa C&C. În răspunsul serverului DNS, adresa IP este înlocuită cu una fictivă, făcând astfel imposibil ca gazda infectată să trimită o solicitare către C&C.

În general, informațiile sunt obținute din cache, dar dacă se detectează activitate suspectă care nu este clar identificată de semnăturile disponibile, Anti-Bot Software Blade face solicitări către ThreatCloud în timp real.

Clasificare și evaluare a fiabilității

Procesul evenimentului de securitate

Prelucrarea informațiilor colectate folosind software-ul Anti-Bot Blade este efectuată de două aplicații SmartConsole - SmartView TrackerŞi SmartEvent. SmartEvent necesită o lamă separată (SmartEvent Software Blade) și este foarte recomandat pentru utilizare în analiză.

Atunci când analizați evenimentele Blade software Anti-Bot, ar trebui să acordați atenție mai întâi declanșatorilor multipli pe trafic cu același IP sursă și declanșatoare care apar cu o anumită frecvență.
Imaginea depinde în mare măsură de modelul de comportament al programului bot.
De exemplu, tipurile de malware primitive fac apeluri DNS frecvente în încercarea de a rezolva numele C&C. În acest caz, SmartEvent va avea un număr destul de mare de evenimente de același tip cu același IP Sursă, iar evenimentele vor diferi unele de altele doar prin numele DNS din cererea către server.

De asemenea, ar trebui să acordați atenție detectărilor multiple ale aceluiași tip de malware pentru IP-uri surse diferite. Această metodă de analiză este eficientă deoarece malware încearcă de obicei să se răspândească la alte gazde vulnerabile din rețeaua locală. Acest lucru este valabil mai ales pentru un mediu corporativ, iar setul de software, inclusiv software-ul antivirus, este adesea același pe stațiile de lucru. Captura de ecran de mai sus arată detectarea în masă a unui tip de malware. Într-o situație similară, merită să verificați selectiv câteva mașini din listă.

Deși Anti-Bot Software Blade ajută la detectarea și blocarea activității gazdelor infectate cu malware, în majoritatea cazurilor este necesară o analiză suplimentară a informațiilor primite. Nu toate tipurile de malware pot fi identificate cu ușurință. Pentru a gestiona incidentele, este nevoie de specialiști calificați care să studieze urmele pachetelor și să identifice activitatea malware. Anti-Bot Software Blade este un instrument puternic pentru automatizarea monitorizării activității malware.

Acțiuni după descoperire

Primul pas este să utilizați Threat Wiki oferit de Check Point.
Dacă amenințarea este actuală, trebuie să utilizați procedura recomandată de furnizor.

De asemenea, pentru a confirma că gazda este infectată, ar trebui să utilizați Google pentru a căuta malware după nume, probabil că veți putea găsi detalii tehnice ale acestui malware, care vă vor ajuta să îl identificați cu exactitate. De exemplu, căutarea numelui „Juasek” (numele este preluat din evenimentul Anti-Bot Software Blade) va dezvălui o mulțime de informații despre acest malware pe site-ul Symantec. Conține, de asemenea, o descriere a procedurii de îndepărtare.

Dacă scopul nu este de a studia programele malware, atunci puteți utiliza unul sau mai multe instrumente de eliminare a programelor malware. Cele mai populare produse sunt de la Malwarebytes, Kaspersky, Microsoft.

Rezultate practice de utilizare

Mai jos sunt rezultatele monitorizării zilnice a traficului din organizație. Comutatorul a reflectat traficul unuia dintre segmentele de utilizator care mergea către serverele DNS și către serverele proxy. Rapoartele au fost obținute folosind software-ul Check Point SmartEvent.

Statistici practice de utilizare a antibot

În timpul zilei, raportul Antibot a inclus 1.712 evenimente, dintre care 134 au fost gazde unice. Rezultatele unei scanări aleatorii a computerelor.

Evaluare articol:
1 stea2 stele3 stele4 stele5 stele(Fără evaluări încă)
Încărcare...
Distribuie prietenilor:
Publicații conexe