+7 (343) 263-74-66
info@novacom.ru

620028, Екатеринбург, Верхисетский бл-р, 13-В, 214
 

Cisco Security Agent против червя MsBlaster

Для проверки возможностей системы обнаружения вторжений Cisco Security Agent было проведено лабораторное тестирование,  в котором был использован сетевой червь, известный под названием MsBlaster. Данный червь появился после выхода ПО CSA и не был известен системе. Тем не менее, ПО оказалось способно эффективно блокировать попытки червя скомпрометировать тестовую систему.

Были исследованы три варианта политик: VMS, VMS+Restrictive Module и Default Desktop. В первых двух случаях червь успешно осуществил атаку на системный модуль SVCHOST.EXE, но без вмешательства пользователя оказался не способен к дальнейшим действиям. В варианте Default Desktop система не позволила осуществить ни один этап атаки, чтобы проанализировать возможные последствия пришлось настроить ее в тестовом режиме. Как видно из лога, атака червя может быть блокирована пятью различными уровнями защиты:

  • соединение по порту 4444 не будет установлено;
  • загрузка CMD.EXE в память не будет разрешена;
  • запуск CMD.EXE не будет разрешен;
  • TFTP не будет разрешено создать файл %SYSTEM32%\MSBLAST.EXE;
  • MSBLAST.EXE не будет разрешен доступ к сети.

Таким образом, активность червя блокируется на основе анализа потенциально опасных действий, а не на основе признаков присутствия в системе конкретного кода (червя, вируса). В сомнительных случаях система запрашивает подтверждения у оператора и в случае отрицательного ответа, либо при отсутствии ответа в течение определенного времени сомнительная операция блокируется.

Иллюстрация: http://www.ocs.ru/cisco_news/sx/art/404442/cp/1/br/202400/discart/404442

 

ООО "Новаком" тел./факс (343) 263-74-66 (многоканальный),   info@novacom.ru