Deep Discovery: Egy ország sem marad védtelen!

A Trend Micro Inc. ma bejelentette, hogy Deep Discovery nevű, fejlett rendszervédelmi terméke a közelmúltban lehetővé tette egy számítástechnikai támadás felismerését, és a kártételt megelőző intézkedések megtételét. A támadások több vezető bank és médiavállalat működését bénították meg, így sok dél-koreai nem tudott ATM automatából pénzt felvenni, és több műsorsugárzó társaságnak megszakadt a számítógépes kapcsolata.

A Deep Discovery számítógép-hálózati észlelőeszköz és egyéni sandbox elemzőrendszer alkalmasnak bizonyult a szigonyeszközként szolgáló adathalász e-mail észlelésére, az abban elrejtett rosszindulatú kód azonosítására, és a támadók által főhadiszállásul használt külső helyszínek leleplezésére. Ennek a beavatkozó adatgyűjtő rendszernek köszönhetően az ügyfelek azonnal meg tudták fékezni, illetve ki tudták korrigálni a hatásokat, valamint képesek voltak letiltani minden rosszindulatú kommunikációs forrást. Az észlelés és a gyors reakció megóvta a Deep Discovery felhasználóit egy olyan támadástól, amelynek feltételezett célja a normál üzletmenet megszakítása volt a létfontosságú végpontok és erőforrások működésképtelenné tételével.

A számítástechnikai támadások Dél-Koreában az utóbbi időben mindennapos valósággá váltak, ezért sok vállalat és állami intézmény megelőző támadásérzékelő rendszert és válaszintézkedést vezetett be. A Trend Micro az ilyen biztonságtechnikai adatgyűjtő megoldások és szolgáltatások vezető szállítója, hiszen a hatból három vezető bank, valamint több mint 80 állami intézmény is a Deep Discovery rendszerrel biztosítja az ilyen támadások kivédését.

A támadás anatómiája

A hírek szerint több vezető dél-koreai bank számítógép-képernyője és három fontos tévétársaság adása is elsötétült (helyi idő szerint) 2013. március 20-án, szerdán. Egyes képernyőkön még egy halálfej, valamint a WhoIs nevű csoport fenyegetése is megjelent.

Ez a mostani eset a Dél-Koreát megfertőző független, de egyidejű támadások egyike. A Trend Micro kutatásai kimutatták, hogy az események kiváltója egy rosszindulatú kóddal elkövetett támadás, amelynek első lépése egy szigonyeszközként szolgáló, márciusi bankszámlakivonatnak álcázott adathalász e-mail kézbesítése volt.

Az adathalász e-mail üzenetekbe rejtett és a rendszerek lefagyását eredményező rosszindulatú kód a fő rendszertöltő rekord (Master Boot Record = MBR) adatait írja felül, és eleve úgy készítették elő, hogy 2013. március 20-án lépjen működésbe. A március 20-a előtt telepített rosszindulatú kód lappangó fertőzés maradt, és csak ezen a napon lépett működésbe. A kód futtatása a rendszert teljesen megbénítja, és rendszer újratelepítést tesz szükségessé. Az MBR bejegyzés törlése esetenként a célzott támadások utolsó lépése, s az a rendeltetése, hogy nehezebb legyen az esetet kivizsgálni és a rendszereket kijavítani. A Trend Micro vizsgálata megállapította, hogy a támadás nemcsak a Microsoft Windows rendszerű gépeket, de a Linux, IBM AIX, Oracle Solaris és Hewlett-Packard HP-UX verziójú UNIX rendszerűeket is megcélozta.

A Deep Discovery azon felhasználói, akik úgy gondolják, esetleg ők is a támadás célcsoportjába tartoztak, egy „HEUR_NAMETRICK.B.” nevű tételt keressenek a Deep Discovery eseménynaplójában.

A Deep Discovery és a Trend Micro Custom Defense

A Trend Micro Deep Discovery testreszabott támadásészlelési, adatgyűjtési és ellenintézkedési képességeivel célzott támadások és „speciális folyamatos fenyegetések” (APT) ellen védi a felhasználót. Támadásészlelési és egyéni sandboxing technológiája megtalálja és elemzi a normál biztonságtechnikai megoldások számára láthatatlan rosszindulatú kódokat, káros kommunikációt és támadásra utaló magatartást is.

A Deep Discovery az ilyen támadások elleni teljes körű észlelés – elemzés – adaptáció – válaszintézkedés munkaciklus megvalósítását teszi lehetővé. A meglévő biztonságtechnikai beruházásokat erősítve, velük együttműködve valósítja meg a teljes körű Custom Defense megoldást az adott ügyfél igényeire szabva. A Deep Discovery a hálózatok, átjárók és végpontok biztonsági rendszereivel együttműködve, azokat friss adatokkal ellátva a rendszer minden pontján fejleszti a támadások elleni védettséget, míg a Deep Discovery egyéni támadás-adatgyűjtő és biztonságtechnikai eseményelemző rendszere lehetővé teszi a támadás gyors elszigetelését és hatástalanítását is. Ilyen széles körű és alapos védelmet csak a Trend Micro Deep Discovery és Custom Defense megoldása kínál.

A Trend Micro biztonságtechnikai adatgyűjtési blogbejegyzésében erről további részletes tájékoztatás található: http://blog.trendmicro.com/trendlabs-security-intelligence/how-deep-discovery-protected-against-the-korean-mbr-wiper/.