Trend Micro Deep Discovery chroni użytkowników w Korei Południowej

28 marca, 2013

Przedstawiciele Trend Micro Incorporated ogłosili, że klienci korzystający z zaawansowanych zabezpieczeń Deep Discovery byli w stanie wykryć i zareagować na niedawne cyberataki zanim zdążyły one doprowadzić do jakichkolwiek szkód. Ostatnie incydenty wywołały paraliż kilku dużych banków i stacji telewizyjnych, uniemożliwiając wielu Koreańczykom wypłacenie gotówki z bankomatów i pozbawiając ekipy reporterów łączności z placówkami.

Zawarte w Deep Discovery funkcje wykrywania zagrożeń w obrębie sieci oraz analizy w trybie sandbox pozwoliły na namierzenie e-maili wykorzystywanych w spear phishingu, identyfikację załączonego złośliwego oprogramowania oraz wykrycie zewnętrznych serwerów C&C, którymi posługiwali się przestępcy. Uzbrojeni w tak szczegółowe informacje o działaniach przestępców, klienci byli w stanie natychmiast zatrzymać lub przeciwdziałać negatywnym efektom ataku oraz zablokować wszystkie źródła niebezpiecznej komunikacji. Wykrycie intruzów i szybka reakcja uchroniły klientów Deep Discovery przed atakami, których celem było najprawdopodobniej zaburzenie funkcjonowania firm i instytucji poprzez sparaliżowanie kluczowych punktów dostępu do sieci i zasobów.

Do cyberataków dochodzi w Korei Południowej już od pewnego czasu i wiele przedsiębiorstw oraz instytucji państwowych wdrożyło rozwiązania służące aktywnemu wykrywaniu i reagowaniu na takie incydenty. Trend Micro jest wiodącym dostawcą produktów i usług, służących zbieraniu informacji o zagrożeniach – trzy z sześciu największych banków i ponad 80 agend rządowych zabezpiecza się przed atakami za pomocą rozwiązania Deep Discovery.

Struktura ataku

Zgodnie z doniesieniami w środę (czasu lokalnego), 20 marca 2013, w głównych południowokoreańskich bankach i w trzech największych stacjach telewizyjnych wyłączyło się kilka monitorów komputerowych. Na niektórych z nich pojawił się obraz przedstawiający czaszkę i ostrzeżenie od grupy podpisanej jako „WhoIs”.

W tym samym momencie doszło do kilku równoległych ataków w całej Korei Południowej. Analizy Trend Micro wykazały, że były one wynikiem działania złośliwego oprogramowania dostarczonego przy pomocy e-maila typu spear phishing udającego wyciąg miesięcznej historii transakcji dokonanych w marcu za pomocą karty kredytowej. Do korespondencji załączono robaka, którego zadaniem było wyłączenie systemu poprzez zastąpienie głównego rekordu startowego Master Boot Record (MBR), po automatycznej aktywacji 20 marca 2013. Jeśli do instalacji złośliwego oprogramowania doszło przed 20 marca, robak pozostawał uśpiony i włączał się dopiero w ustalonym momencie. Po jego uruchomieniu dochodziło do całkowitego paraliżu systemu, wymagającego zazwyczaj jego kompletnej rekonstrukcji. Czyszczenie rekordu MBR w taki właśnie sposób jest czasem ostatnim etapem ataków ukierunkowanych utrudniającym analizę i odbudowę zainfekowanego systemu. Z danych zebranych przez Trend Micro wynika, że wśród celów ataku znalazły się nie tylko systemy pracujące w oparciu o Microsoft Windows, lecz także platformy Linux, IBM AIX, Oracle Solaris oraz UNIX w wersji Hewlett-Packard HP-UX.

Klienci korzystający z zabezpieczeń Deep Discovery, którzy obawiają się tego, że również mogli stać się ofiarami tego ataku, mają możliwość poszukania nazwy „HEUR_NAMETRICK.B.” w rejestrze wydarzeń programu.

Deep Discovery i Trend Micro Custom Defense

Trend Micro Deep Discovery zapewnia dostosowane do potrzeb klienta narzędzia do wykrywania, analizowania i reagowania na ataki ukierunkowane i zagrożenia typu APT (Advanced Persistent Threats). Mechanizmy wykorzystywane do wykrywania zagrożeń oraz elastyczne środowisko sandbox służą identyfikacji i analizie złośliwego oprogramowania, niebezpiecznych transferów danych oraz aktywności, które pozostają niewidoczne dla standardowych zabezpieczeń.

Deep Discovery dysponuje narzędziami umożliwiającymi działanie na każdym etapie procesu Wykrycie –Analiza – Adaptacja – Reakcja, pozwalając na integrację i wzmocnienie istniejących zabezpieczeń i stworzenie kompletnego rozwiązania Custom Defense, dostosowanego do konkretnych potrzeb środowiska danego klienta. Funkcje integracji i udostępniania aktualizacji bazy o zagrożeniach na poziomie sieci, bramek i punktów końcowych poprawiają wydajność systemu ochrony i reagowania na ataki we wszystkich punktach. Natomiast system zbierania danych o zagrożeniach w połączeniu z funkcją analizy wydarzeń, umożliwia błyskawiczne opanowanie zagrożenia i odpowiedź na atak. Tylko Trend Micro Deep Discovery i Custom Defense oferują tak szeroką i dogłębną ochronę.

Bardziej szczegółowe informacje dostępne są na blogu Trend Micro Security Intelligence:

http://blog.trendmicro.com/trendlabs-security-intelligence/how-deep-discovery-protected-against-the-korean-mbr-wiper/.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]