Вирусы сетевые атаки что такое

Содержание

[править] Общее

Сетевая атака - некоторый набор действий (активность), имеющий целью произвести с компьютером (сервером) какие-то действия удаленно. Действия, обычно, являются нежелательными.

Существует много разновидностей атак. Наиболее интересны (актуальны) атаки двух типов:

• DOS атака (Denial Of Service, отказ в обслуживании) - атака, направленная на то, чтобы сервер (сайт) перестал работать.
• Взлом - попытка получить доступ к исходным кодам сайта, его базе данных.

[править] DOS

Типы атак могут быть поделены на следующие основные группы:

1. Создание перегрузки сайта или сервера.
2. Попытка эксплуатировать общие ограничения сервера или сети.
3. Отказ в обслуживании с помощью уязвимости.
4. Другое.

Наиболее частый сценарий, используется в 95% случаев. Процедура простая: на сайт с разных точек сети отправляются корректные запросы, обычно, однотипные, к динамическому файлу. Такая атака не требует никаких особых ресурсов, достаточно иметь доступ к нескольким сотням машин, зараженных специальными вирусом (так называемый BotNet), которые будут отправлять запросы.

• Если кол-во машин невелико (несколько) или это одна машина атакующего, то мы имеем DOS атаку, которую очень легко отразить. Достаточно заблокировать эти IP адреса. Это может сделать даже сам пользователь хостинга, написав директивы в файл .htaccess.
• В случае, если машин несколько сотен, отразить атаку сложнее – необходимо содействие оператора сервера, так как блокировать атаку на уровне Веб-сервера уже поздно – даже отклонение запросов от такого числа атакующих будет создавать заметную нагрузку, и придется блокировать их на уровне сетевой системы сервера. Распределенная DOS атак с большого кол-ва машин называется DDOS (Distributed DOS).
• В случае, если атакующих тысячи или десятки тысяч (большой BotNet, опытная группа хакеров), действовать становится труднее: даже автоматические средства выявления адресов атакующих всё хуже справляются с определением адресов, начинают блокироваться общественно-значимые IP (компьютер атакующего находится за крупным NAT или прокси-сервером и т.д.).

Перспективы отразить такую атаку зависят от возможностей по пропускной способности входящего канала и сетевой системы сервера. Атаку из фиксированного числа в десятки или сотни точек адресов отразить можно. Атаку с более заметного кол-ва узлов отражать нет смысла, так как экономический урон слишком велик. Оплата трафика, нагрузки firewall-а сервера и действий специалистов несопоставима с оплатой сайта виртуального хостинга. Сайт, подвергаемой такой атаке с количества адресов, превышающих несколько сотен, на любом виртуальном хостинге будет выключен. Для этого выключается доменное имя или из записи зоны удаляется IP адрес сервера хостинга.

Некоторые типы серверов имеют архитектуру, не позволяющую обслуживать одновременно неограниченное количество запросов. К таким типам относится, например, популярный Веб-сервер Apache, а также почти любой FTP или почтовый сервер. Достаточно создать сотни или тысячи незавершенных подключений к такому серверу, и его работа будет парализована тем, что свободного ресурса подключений, необходимых для работы сайта и даже других сайтов, не останется.

Разновидностью атаки такого типа является SYN атака (SYN flood, UDP flood). Для того, чтобы отправить запрос на соединение (SYN пакет протокола TCP), или UDP пакет, можно сформировать сетевой пакет с неправильным обратным IP адресом. Фильтрация по IP адресу становится невозможной. Отражением такого типа атак занимаются специалисты сетевых операторов. Сервер в целом и некоторые типы серверов (пример - IIS, nginx, DNS сервер) устойчивы к небольшим SYN/UDP атакам (до 100 – 1000 запросов в секунду), могут просто игнорировать их. Веб-сервер Apache можно привести в нерабочее состояние даже SYN атакой с одного компьютера, создавая всего 10-30 запросов в секунду. Крупная распределенная SYN атака (более 50 – 100 тыс. запросов в секуду) мешает работе сетевого оборудования и представляет собой уже серьезную проблему для всего хостинга, явление это достаточно редкое.

Отражение атак этого типа зависят от конкретной ситуации. Некоторые типы атак не могут быть отражены без принципиального изменения типа сервера сайта, что обычно невозможно на виртуальном хостинге. Скажем, если ваш сайт обслуживается Apache и Apache действительно нужен (mod_rewrite и т.д.), то ничего поделать с атакой такого типа нельзя (разве что поставить прокси-сервер (nginx, oops, squid и т.д., но это отдельный разговор). Некоторые типы атак (SYN/UDP flood) могут быть отражены только усилиями сетевых операторов, так как необходимо средствами мониторинга найти реальный источник атаки. Иногда это занимает часы или даже дни.

Данную атаку можно отразить специалистами хостинга, т.к. обычно только они смогут выяснить, что именно вызывает постоянный сбой сервера. Это может быть достаточно трудоемко и занимать часы или даже дни. Следующий вопрос – разработать методику блокировки таких запросов, что тоже может занять некоторое время.

Участники

Cообщений: 425

Здравствуйте! На компьютер постоянно идут сетевые атаки. Недавно поменял провайдера, проблема все равно осталась.

Программирование, тестирование, участие в конкурсах.

Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect

Участники

Cообщений: 425

Это ПК родителей, до этого стоял здесь антивирус нод, он писал: TCP флад атака и сам ip адрес откуда идёт атака (ip всегда разные).

Поменяли провайдера. Установил вчера Касперского, провёл сканирование - все чисто. Думал, все ок, но потом опять пошла сетевая атака.

В отчёте написано: Intrusion.Win.MSSQL.worm.Helkern

С чем это связано и как решить проблему?

Программирование, тестирование, участие в конкурсах.

Участники

Cообщений: 425

Буквально час назад, ещё одна сетевая атака. Совсем другая.

Программирование, тестирование, участие в конкурсах.

Отправь пока на всякий пожарный это в вирлаб
C:\Documents and Settings\Аркадий\Local Settings\Temp\clean.bat

Кстати может это связано с наличием одновременно установленных программ:
MicroWorld AntiVirus Toolkit Utility (MWAV)
BitDefender Core
eScan AntiVirus Toolkit Utility

Участники

Cообщений: 425

Отправь пока на всякий пожарный это в вирлаб
C:\Documents and Settings\Аркадий\Local Settings\Temp\clean.bat

Кстати может это связано с наличием одновременно установленных программ:
MicroWorld AntiVirus Toolkit Utility (MWAV)
BitDefender Core
eScan AntiVirus Toolkit Utility

Папку Temp очистил.

clean.bat - это файл eScan.

Ничего не установлено, сейчас даже подчищал остатки. Проблема в чем-то другом. Сетевые атаки уже как 6 месяцев были.

Программирование, тестирование, участие в конкурсах.

Старожилы

Золотые бета-тестеры

Cообщений: 3472

Меньше будешь в интернете - здоровее будут дети!

Участники

Cообщений: 425

Обычно атака Intrusion.Win.NETAPI.buffer-overlow.exploit говорит, что в сети есть компьютер зараженный Kido или подобным ему вирусом, пытающимся использовать имеющиеся в системе уязвимости, а в теме вообще не сказано, есть ли у вас там локальная сеть и как вы получаете интернет. То, что KIS выдаёт сообщение об атаках - это хорошо, это значит, что атака отражена, плохо другое - что рядом есть зараженные компьютеры.

Программирование, тестирование, участие в конкурсах.

Старожилы

Золотые бета-тестеры

Cообщений: 3472

Локальная сеть на сколько компьютеров? Хоть приблизительно? Она только для тех, кто в квартире? Или для тех, кто в доме, микрорайоне, городе?

Автообновление Windows доступно и проводится регулярно? Из отчёта этого не увидел, вижу что стоит SP3, но патчи от Kido появились немного позже, чем вышел этот пакет исправлений.

Меньше будешь в интернете - здоровее будут дети!

Участники

Cообщений: 425

Не знаю, честно. Но скажу так. Если я перевожу инет на ноутбук - сетевых атак нет (на ноутбуке). Значит на ПК или угроза или уязвимости.

Да, все обновления установлены.

Если на компьютере не установлен MS SQL Server, то атаки Intrusion.Win.MSSQL.worm.Helkern Вам не страшны

Следов Кидо на Вашем компьютере не видно

Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect

Разновидности сетевых атак

Содержание:

Существует несколько разновидностей сетевых атак, в том числе следующие:

Атаки на уровне приложений осуществляются различными методами. Один из наиболее распространенных методов использует известные слабые места в программном обеспечении, которые обычно существуют на серверах типа sendmail, HTTP и FTP. Используя эти слабые места, хакеры могут получить доступ к компьютеру, разрешающему запуск приложений для определенной учетной записи, которая являются обычно привилегированной системной учетной записью. Эти атаки на уровне приложений часто предаются гласности, для того чтобы дать возможность администраторам исправить проблему при помощи соответствующего патча. К сожалению, многие хакеры подписаны на те же самые рассылки и тоже сразу же получают информацию о таких атаках. Главная проблема, связанная с подобным типом атак, состоит в том, что они часто используют порты, позволяющие проходить через межсетевой экран. Например, хакер, знающий уязвимость web-сервера, часто использует при атаке TCP порт 80. Поскольку web-сервер обслуживает страницы пользователей, межсетевой экран должен предоставлять доступ по этому порту. И межсетевой экран воспринимает этот трафик как обычный трафик через порт 80.

Авторутеры — это программы, которые автоматизируют весь процесс хакинга. Компьютеры последовательно сканируются, исследуются и захватываются. Процесс захвата включает установку на компьютере rootkit и использование захваченной системы для автоматизации процесса вторжения. Автоматизация позволяет захватчику просканировать сотни тысяч систем за короткий промежуток времени.

TCP SYN Flood может произойти в том случае, когда клиент пытается установить TCP-соединение с сервером, что требует обмена определенной последовательностью сообщений. Сначала клиентская система посылает SYN-пакет на сервер. Затем сервер подтверждает получение SYN-пакета, посылая SYN-ACK сообщение клиенту. Затем клиент завершает установку соединения, отвечая сообщением ACK, и затем снова должен произойти обмен данными. В точке, где система сервера послала подтверждение (SYN-ACK) назад клиенту, но еще не получила сообщения ACK, устанавливается полуоткрытое соединение. Данные, касающиеся всех ждущих обработки соединений, находятся в памяти сервера, которая может переполниться, если намеренно создать слишком много частично открытых cсоединений.

Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K) являются распределенными инструментальными средствами, обычно запускающими скоординированные DoS-атаки из многих источников на одну или несколько целей. TFN имеет возможность генерировать пакеты с подмененными IP-адресами источника. Нарушитель, посылая с основного компьютера команды нападения на список TFN-серверов или демонов, осуществляет DoS-атаку, используя TFN-сеть. Затем демоны генерируют указанный тип DoS-атаки на один или несколько IP-адресов объектов атаки. IP-адреса и порты источника атаки могут изменяться случайным образом, могут изменяться и размеры пакетов. Проведения атаки требует предоставления нарушителем списка IP-адресов для демонов.

Обычно IP spoofing ограничивается введением опасных данных или команд в существующий поток данных, который проходит между клиентом и сервером или при связи равноправных узлов сети. Чтобы обеспечить двунаправленное соединение, хакер должен изменить все таблицы маршрутизации, чтобы направить на подмененный IP-адрес. Иногда используется другой хакерский подход — просто не беспокоиться по поводу получения какого-либо отклика от приложений. Если хакер пробует получить критически важный файл системы, ответы приложений ему не важны. Однако если хакер сможет изменить таблицы маршрутизации, чтобы направить на поддельный IP-адрес, он сможет получать все сетевые пакеты, которые направляются на поддельный адрес и отвечать именно так, как отвечал бы доверенный пользователь.

Сетевая разведка — это крупномасштабные действия по изучению информации о сети с использованием доступной информации и приложений. Когда хакеры пытаются проникнуть в какую-либо сеть, то перед атакой они должны узнать максимум информации о сети. Разведка может происходить в форме запросов DNS-серверу, сканирования диапазона IP-адресов (ping sweeps) и сканирования портов. Запросы DNS-серверу могут дать информацию о том, кто имеет собственный домен и какие адреса были назначены этому домену. Сканирование диапазона полученных IP-адресов может дать представление об активных серверах в определенной части сети. После того как такой список сгенерирован, средства сканирования портов могут циклически проходить все известные порты, чтобы обеспечить полный список всех сервисов, выполняющихся на хостах, обнаруженных путем сканирования диапазона IP-адресов. Наконец, хакеры могут изучить характеристики приложений, выполняющихся на хостах. Эта информация будет полезна при попытке хакера нарушить работу системы.

Другая проблема связана с тем, что пользователи имеют один и тот же пароль для любой системы, к которой они подключаются. Часто это персональные системы, корпоративные системы и системы в Интернете. Поскольку этот пароль защищен настолько, насколько защищен плохо управляемый сервер, на котором этот пароль хранится, то если этот сервер будет взломан, хакеры будут иметь возможность использовать этот пароль для доступа к большому количеству хостов.

Port redirection attacks — это тип атаки, использующий взломанный хост, для того чтобы передать через межсетевой экран трафик, который в ином случае был бы потерян. Рассмотрим межсетевой экран с подключением к трем хостам. Хост на внешней стороне может соединяться с хостом сегмента общедоступных сервисов (обычно называемым DMZ), но не с хостом внутренней части сети. Хост в сегменте общедоступных сервисов может соединяться с хостом и внешней, и внутренней части сети. Если бы хакерам удалось взломать хост сегмента общедоступных сервисов, то они могли бы установить программное обеспечение для переадресации трафика, идущего от внешнего хоста непосредственно на внутренний хост. Хотя никакая из этих связей не нарушала бы правил безопасности сети, внешний хост теперь получил бы возможность связываться с внутренним хостом путем переназначения портов на хосте общедоступных сервисов.

Вирусные и троянские атаки используют опасные программы, которые прикрепляются к другим программам, для того чтобы выполнить какую-либо деструктивную функцию на пользовательской рабочей станции. Примером вируса является программа, которая прикрепляется к command. com (главный интерпретатор системы Windows), удаляет некоторые файлы и инфицирует все другие версии файла command. com, которые сможет обнаружить. Троянец отличается только тем, что приложение написано так, чтобы маскироваться под другую программу. Пример троянского коня — приложение, которое запускает простую игру на пользовательской рабочей станции. В то время как пользователь занят игрой, троянский конь отправляет копию себя по всем адресам из его адресной книги.

Затем другие пользователи получают эту игру и запускают ее, распространяя таким образом троянца.

Trust exploitation attacks происходят, когда кто-либо пользуется преимуществом доверительных отношений в пределах сети. Классический пример — периметр корпоративной сети. В этом сегменте сети часто размещаются DNS, SMTP и HTTP-серверы. Поскольку все серверы находятся в одном сегменте, взлом одной системы может привести к взлому других систем — так как между ними установлены доверительные отношения. Другой пример — система на внешней стороне межсетевого экрана, которая состоит в доверительных отношениях с системой по другую сторону межсетевого экрана. Когда внешняя система взломана, то используя доверительные отношения, можно осуществить атаку на внутреннюю сеть.

Последние эпидемии вирусов-шифровальщиков Wannacry и Expetya, широко освещавшиеся средствами массовой информации, еще раз показали, что даже в больших корпоративных сетях существуют проблемы недостаточной готовности используемых средств защиты от информационных угроз к вирусным атакам. Еще хуже ситуация в среднем и малом бизнесе, небольших государственных и ведомственных сетях, образовательных учреждениях, бюджеты которых на информационную безопасность зачастую выделялись только на антивирусное ПО для рабочих станций, что уже недостаточно для защиты от современных угроз.

В настоящее время разработчики вредоносных программ повсеместно используют практику предварительного тестирования собственного ПО на обнаружение десятками антивирусов. Поэтому надеяться на эвристические алгоритмы антивирусов и проактивную защиту, как правило, не приходится. А сигнатуры вредоносных программ попадают в базы данных антивирусов лишь через несколько часов после начала крупномасштабных эпидемий. На зараженных же устройствах работа антивирусов к этому времени будет уже заблокирована вирусами или клиентами ботнетов.

Поэтому оценки общего ущерба от интернет-преступности для мировой экономики, которые приводит международная исследовательская компания Allianz Global Corporate & Specialty, не удивляют. За 2016 год она оценила общий ущерб от интернет-преступности для мировой экономики (включая прямые потери, недополученную прибыль и расходы на восстановление систем) в более чем 575 млрд долларов. Это около 1% мирового ВВП.

Можно выделить следующие основные угрозы информационной безопасности:

• Шифровальщики.
• Ботнеты.
• Фишинг.
• Атаки на веб-приложения.
• Уязвимости в популярных операционных системах.
• Уязвимости в прикладном ПО (офисные приложения, браузеры и др.).
• Нецелевые атаки (массовые атаки на уязвимое ПО, обнаруженное сетевыми сканерами или "черными поисковиками").
• Таргетированные (целевые) атаки.

Эшелонированная оборона

Разумным ответом на возрастающие угрозы является усиление защиты на сетевом уровне. Защита периметра сети и сегментирование локальной сети (разделение на несколько подсетей с обязательной фильтрацией межсегментного трафика) позволяет не допустить проникновение вирусов внутрь защищенного контура или предотвратить полное заражение сети и критически важных блоков (компьютеров финансового отдела, бухгалтерии, серверов баз данных, бекапов, систем управления производственными процессами).

Естественно, для борьбы с современными угрозами необходимы современные средства защиты.

Простого межсетевого экрана с возможностью блокировки портов и протоколов сетевого уровня, преобразования сетевых адресов с помощью Network Address Translation (NAT) уже недостаточно.

Вредоносное ПО легко преодолевает периметр с помощью электронной почты, через вредоносные скрипты на веб-сайтах или с помощью эксплойтов в flash, pdf, doc и файлах других форматов.

Дальнейшее же распространение внутри локальной сети вирус Wannacry осуществлял уже через уязвимости в реализации SMB-протокола в операционной системе Windows.

На смену простым роутерам и межсетевым экранам в середине 2000-х пришли многофункциональные интернет-шлюзы (Multi-Service Business Gateway (MSBG)), имеющие ряд функций безопасности (межсетевой экран, контент-фильтр и другие), но и перегруженные бизнес-функциями, такими как веб-сервер, сервисы телефонии, Jabber, FTP и файловые серверы для сетей Microsoft. Как правило, обилие модулей предоставляет злоумышленникам целый ряд дополнительных векторов атак на данный тип ПО, как DoS, так и прямых взломов, когда через уязвимость веб-сервера злоумышленник может захватить контроль над устройством, и следовательно, над всей корпоративной сетью.

Современные решения безопасности для защиты сетевого периметра сформировались в категории шлюзов безопасности (Unified Threat Management (UTM)) и межсетевых экранов нового поколения (Next-Generation Firewall (NGFW)).

Различие между UTM и NGFW - вопрос дискуссионный. Основное их отличие от устаревших типов решений - наличие систем глубокого анализа трафика (Deep Packet Inspection (DPI)). Именно такой анализ позволяет выявить угрозы в обычном типе трафика: HTTP/HTTPS-сессиях, DNS-запросах, почтовых сообщениях - и обнаружить в трафике следы вредоносной активности, анализируя ошибки сетевых протоколов, частоту и характер сетевых соединений, обращения к подозрительным или скомпрометированным ресурсам. Администратору же устройства и ПО подобного типа предоставляют широчайшие возможности по управлению трафиком: возможность контентной фильтрации интернет-ресурсов, трафика приложений (включая потенциально опасные: TOR, BitTorrent, TeamViewer, анонимайзеры и другие программы удаленного доступа), а также логируя любую подозрительную сетевую активность.

Данный вопрос актуален не только для специалистов, выбирающих подобный тип решений для обеспечения безопасного доступа в интернет и защиты от различного типа угроз, но и для производителей решений в области сетевой безопасности.

Наш десятилетний опыт разработки решений класса UTM говорит о том, что данный тип решений должен обладать следующими свойствами:

• Решение должно быть безопасным.
  Само по себе не предоставлять злоумышленникам дополнительные векторы атак. Не организовывайте на интернет-шлюзе файловый или веб-сервер. Слишком велик риск потери данных и компрометации данного сервиса.
• Оно должно быть современным.
  Не использовать устаревшие технологии, протоколы, подходы. Ни в коем случае не используйте на серверах для выхода в интернет операционную систему Windows: она наиболее уязвима для различного вида атак - и любое ПО, основанное на данной ОС: Microsoft TMG, Traffic Inspector, Usergate Proxy&Firewall, Kerio WinRoute, Traffpro.
• Решение должно быть простым.
  С оптимальными настройками по умолчанию и невозможностью небезопасной настройки. Администратор может не иметь соответствующей квалификации, у него может не быть времени на информационную безопасность, в конце концов, у вас может не быть собственных ИТ-специалистов в штате. Решение должно предусматривать получение современных настроек системы безопасности с обновлениями ПО и автоматически поддерживать высокий уровень собственной защищенности и жесткий уровень фильтрации опасного трафика.
• Оно должно быть комплексным.
  Обеспечивать защиту от широкого спектра устройств. Использование большого количества узкоспециализированного ПО или аппаратных комплексов будет неудобным, даже если они объединены общей консолью управления.

Рекомендации по защите

Обязательно используйте потоковую проверку трафика на вирусы. Это поможет блокировать вредоносные скрипты на сайтах, зараженные файлы и другие опасные объекты еще до их попадания на пользовательские устройства.

В Ideco ICS для проверки веб-трафика используется антивирус ClamAV или антивирус Касперского, в зависимости от доступного по лицензии. Антивирусный модуль от "Лаборатории Касперского" предоставляет более высокий уровень защиты, а антивирус ClamAV доступен даже в бесплатной редакции Ideco SMB и обеспечивает базовую проверку трафика.

Клиенты ботнетов, вирусы и шифровальщики часто пытаются обойти системы фильтрации и сохранить анонимность своих командных центров, используя для связи сеть TOR или другие анонимайзеры.

Обязательно заблокируйте эти возможности обхода систем фильтрации и анализа трафика, закрыв способы для удаленного управления злоумышленниками вредоносным ПО.

В Ideco ICS есть все возможности по блокировке данного типа трафика, описанные в соответствующей статье документации.

Загрузка активного содержимого троянских программ, их общение с командными центрами чаще всего происходит по протоколам HTTP/HTTPS, открытым в корпоративных сетях. Поэтому фильтрация трафика, включая обязательно HTTPS, необходима для предотвращения проникновения в сеть вредоносного ПО.

Особую опасность представляют фишинговые ресурсы. Маскируясь под страницы легитимных сайтов: интернет-банков, веб-почты и других - они обманным путем пытаются завладеть учетными данными пользователя. Блокировка подобных доменов на уровне шлюза поможет пользователям сохранить свои учетные данные и предотвратит возможные финансовые и репутационные потери.

При использовании расширенного контент-фильтра в Ideco ICS мы рекомендуем заблокировать следующие категории трафика:

• Анонимайзеры (веб-прокси и другие способы обхода системы контентной фильтрации).
• Ботнеты.
• Взлом (веб-сайты, содержащие хакерское ПО и утилиты).
• Тайный сбор информации (блокирует активность adware и шпионского ПО).
• Спам (веб-сайты, рекламируемые при помощи спама, часто пытаются атаковать компьютеры пользователей).
• Центры распространения вредоносного ПО.
• Центры управления и контроля (командные центры ботнетов).
• Фишинг/мошенничество.
• Порнография (зачастую подобные ресурсы содержат опасное содержимое и вредоносные скрипты).
• Шпионское и сомнительное ПО (сайты, содержащие ссылки на шпионское ПО, клавиатурные шпионы).

Инструкция по настройке контент-фильтра в Ideco ICS доступна в документации.

Один из важнейших модулей глубокого анализа трафика, который позволяет заблокировать попытки применения известных эксплойтов с помощью сигнатурного и статистического анализа трафика, также он ведёт журналирование инцидентов безопасности и различных аномалий.

Кроме того, в Ideco ICS данный модуль обладает расширенной функциональностью, включающей в себя:

• Блокировку анонимайзеров (плагинов к популярным браузерам, турбо и VPN-режимов браузеров).
• Блокировку телеметрии Windows (сбора информации об использовании ПО и пользовательской активности).
• Блокировку известных IP-адресов злоумышленников, "хакерских" хостингов и зараженных хостов по обновляемой базе IP Reputation.

Активация данного модуля существенно повышает общую безопасность сети и сервера.

Еще один модуль глубокого анализа (DPI) трафика. Администраторам рекомендуется запретить трафик приложений удаленного доступа (TeamViewer, AmmyAdmin) для тех пользователей, у которых нет необходимости в подобном ПО для рабочих целей.

Злоумышленники, применяя методы социальной инженерии (обманным путем), могут заставить пользователя предоставить доступ к хостам внутри сети с помощью подобного программного обеспечения.

Известны случаи проникновения злоумышленников в защищенные банковские сети таким, на первый взгляд, простым способом.

Email-адреса сотрудников, как правило, можно очень легко найти на сайтах компаний, поэтому электронная почта является наиболее частым вектором атаки злоумышленников. Многоуровневая проверка почтового трафика необходима для предотвращения попадания в сеть вредоносного ПО, фишинга и спама.

Обязательно настройте на корпоративном сервере электронной почты следующие параметры фильтрации:

• Проверку SPF-записи почтового домена. Она не позволит злоумышленникам выдавать свои письма за письма из налоговой инспекции, банка и с других известных доменов, которым доверяют пользователи.
• Проверку корректности DKIM-подписи. Большинство корпоративных почтовых серверов (у сервера Ideco ICS также есть эта возможность) используют DKIM-подписи для подтверждения сервера отправителя и предотвращения использования домена в фишинговых целях.
• Используйте проверку ссылок в письмах на фишинг (в Ideco ICS такая проверка осуществляется модулем Касперский Антифишинг, входящего в состав Антиспама Касперского).
• Обязательно проверяйте вложения на вирусы на этапе приема их почтовым сервером (в Ideco ICS для этого можно использовать антивирус ClamAV и Антивирус Касперского).

В схеме фильтрации почтового трафика в Ideco ICS большая часть данных настроек включена по умолчанию и не требует конфигурирования. Как и защита почтового сервера от DoS-атак злоумышленников, грозящих недоступностью столь важного для корпоративной работы сервиса.

Вредоносное ПО может использовать разрешенный трафик по 53 UDP-порту для общения со своими командными центрами. Подмена же ответов DNS-сервера или прописывание собственного DNS-сервера в сетевых настройках устройства предоставляет злоумышленникам широчайшие возможности для фишинга. При этом пользователь будет заходить в браузере по адресу своего интернет-банка, но в действительности это будет очень похожая страница, созданная злоумышленниками.

На Ideco ICS включите перехват DNS-запросов в настройках DNS-сервера. И используйте безопасные фильтрующие DNS-сервера: SkyDNS или Яндекс.DNS. Это позволит блокировать обращения к доменам, созданным злоумышленниками, уже на уровне резолвинга DNS-адреса и предотвратит туннелирование и маскировку DNS-трафика вредоносным ПО.