> Zpět  


Check Point - odfiltrování IRC komunikace (např. červů)


Jak ukazují například červy KorgoAgoBot Internet Realy Chat (IRC) protokol je stále častěji používán tvůrci malware nejen k jeho šíření, ale také k ovládání již napadených systémů, či sběru získaných informací z těchto systémů.

Červy s IRC komunikací se po napadení systému připojí přes některý z vysokých TCP portů ke kanálu IRC serveru, kde očekávají útočníkovy instrukce. Takto ovládané červy mohou být vybaveny např. následujícími funkcemi:

  • spuštění kódu
  • upload, download souborů
  • zastavení běžícího procesu
  • sběr informací z hostitele (např. uživatelská jména, hesla, čísla platebních karet, produktové klíče)
  • rozesílání spamu
  • účast na DDoS útocích

Detekce a blokování IRC
SmartDefense ve VPN-1 s Application Intelligence R55W a InterSpect společnosti Check Point umí IRC provoz nejen detekovet ,ale následně i zablokovat bez ohledu na jakém portu probíhá. V záložce Log SmartView Trackeru jsou záznamy s IRC provozem označeny textem Peer to Peer v poli Attack Name a IRC Protocol detected on connection v poli Information.

V R55W a InterSpectu lze nastavit blokování IRC komunikace v záložce SmartDefence -> levý panel záložky/položka Application Intelligence/Peer to Peer/IRC. Standardně je IRC blokováno jen na portech 6660-6669, 7000, 7001, které nejčastěji využívá. Volitelně je možné nastavit blokování IRC provozu na všech vysokých TCP portech (tj. 1023 a vyšší).


-mho-
obrazek