Symantec: осторожно, Stuxnet может воскреснуть после дезинфекции

Symantec: осторожно, Stuxnet может воскреснуть после дезинфекции

Сотруднику корпорации Symantec удалось обнаружить еще один способ распространения червя Stuxnet. Выяснилось, что направленная против промышленных систем управления вредоносная программа использует прием, который не только способствует ее дальнейшему размножению, но и теоретически позволяет ей повторно инфицировать компьютеры даже после проведенной очистки.



Stuxnet уже успел завоевать репутацию одного из наиболее изощренных и  технически совершенных образцов вирусописательского "искусства". Этому поспособствовали и эксплуатация им четырех zero-day уязвимостей, и использование целого ряда иных, более традиционных векторов проникновения (самокопирование на USB-носители, размножение через ресурсы сети и т.д.), и явная нацеленность на разработанные компанией Siemens системы управления промышленными объектами. Последнее позволило журналистам сравнить Stuxnet с управляемой ракетой, которая поражает лишь цели, соответствующие определенным (и весьма узким) критериям.


Теперь же исследователь из компании Symantec Николя Фальер обнаружил, что в арсенале Stuxnet есть еще один способ распространения - инфицирование файлов Step7, которые используются администраторами для конфигурирования программного обеспечения Siemens. Вредоносная программа ищет на пораженном компьютере все файлы этого типа и немедленно добавляет к ним свое содержимое; впоследствии, если такой файл будет отправлен на исполнение, он вызовет повторное инфицирование.  


"В список векторов самораспространения Stuxnet потребуется добавить еще один пункт - способность заражать файлы проектов и запускаться при их открытии", - написал г-н Фальер в своем блоге. - "Мы советуем операторам и программистам соблюдать осторожность при использовании проектных файлов, исходящих из недоверенных источников - например, форумов в Интернете, - однако теперь и доверенная сторона, если ее информационная система была поражена Stuxnet, вполне может оказаться источником заражения."


Подобный прием может быть особенно эффективен, если файлы Step7 расположены на центральном сервере и оттуда поступают на другие машины в сети. Если Stuxnet удастся проникнуть на центральный компьютер, то с его помощью он сможет попасть на все вторичные серверы и рабочие станции, которые к нему подключены.


Также г-н Фальер предупредил, что эта технология потенциально может защитить Stuxnet от полного уничтожения. "Если инфицированный проект будет восстановлен из резервного хранилища, то уже очищенные от вредоносного программного обеспечения компьютеры могут быть заражены вновь. Соответственно, администраторам следует быть внимательными и осторожными при восстановлении таких объектов из резервных копий", - указал он.


The Register

UserGate SIEM получила сертификат ФСТЭК по 4-му уровню доверия

Система UserGate SIEM получила сертификат соответствия ФСТЭК России по 4-му уровню доверия к средствам технической защиты информации. Это подтверждает, что платформа для мониторинга событий безопасности, анализа данных и реагирования на инциденты соответствует требованиям регулятора.

Сертификация важна для организаций, которым необходимо использовать сертифицированные средства защиты информации.

Речь, в частности, о компаниях из финансового сектора, промышленности, нефтегаза, здравоохранения, сферы критической информационной инфраструктуры, а также о государственных организациях.

UserGate SIEM, или uSIEM, предназначена для сбора и анализа событий информационной безопасности. Система помогает отслеживать подозрительную активность, выявлять угрозы и реагировать на инциденты. После получения сертификата решение можно применять в инфраструктурах, где действуют регуляторные требования к использованию сертифицированных СЗИ.

В компании отмечают, что сертификация проходила не только как формальная процедура включения продукта в перечень средств защиты. По словам менеджера по развитию uSIEM Дмитрия Чеботарёва, система прошла полный цикл испытаний в аккредитованной лаборатории. Проверялись, в том числе, работа под нагрузкой, корректность выявления инцидентов и безопасность хранения чувствительных журналов.

uSIEM входит в продуктовую систему UserGate SUMMA и может использоваться вместе с другими решениями вендора, включая UserGate NGFW. При этом система открыта для интеграции с инфраструктурой заказчика и может применяться не только действующими клиентами UserGate, но и новыми организациями.

Для рынка это означает ещё один сертифицированный вариант SIEM-системы, который можно использовать в проектах с повышенными требованиями к информационной безопасности и регуляторному соответствию.

RSS: Новости на портале Anti-Malware.ru