Обнаружена сетевая атака DoS.Win.CVE-2021-31166.a
 
Антивирус Kaspersky Internet Security многоразово сообщал о том, что обнаружена и предотвращена сетевая атака:
Компонент: Защита от сетевых атак
Описание результата: Запрещено
Название: DoS.Win.CVE-2021-31166.a
Объект: TCP от 35.239.78.160 на 192.168.1.100:80

Надо отдать должное разработчикам антивирусной программы Kaspersky Internet Security (KIS) - именно благодаря ее сообщениям о том, что сетевая атака остановлена получилось обратить внимание на эту проблему, которая проявляла себя почти весь день, пока рабочее место было включено, но активно в работе не использовалось.

Нажатие на изображении увеличит его
обнаружена и запрещена сетевая атака DoS.Win.CVE-2021-31166.a
Рис. 1. Отчет в антивирусе KIS об отражении сетевой атаки под названием DoS.Win.CVE-2021-31166.a

По данным сайта и описания проблемы на securitylab.ru - Опубликован PoC-код для эксплуатации уязвимости в Windows IIS заключается в уязвимости самой операционной системы Windows. Проблема оказалась в перспективе опасной, если все же не получиться "отбиться" окончательно и не прекратить поток сетевых атак. Так как через уязвимость возможно отправить специально сформированный пакет директив и выполнить вредоносный код в ядре самой операционной системы компьютера, который подвергается сетевой атаке.

Поэтому нужно было оперативно решать проблему. Первым делом было предпринято решение о том, чтобы установить обновления Windows 8, которые были не установлены среди которых "обновление систем безопасности Windows", так как логично предположить, что, возможно, "дыра" в ОС будет устранена в обновлении, поскольку о ней уже известно.

Нажатие на изображении увеличит его
как остановить, прекратить сетевую атаку DoS.Win.CVE-2021-31166.a
Рис. 2. Просмотр результата установки обновлений в журнале

Обновления были установлены, но это не привело к желаемому результату - сетевые атаки продолжались с той же интенсивностью. Поэтому вопрос о том, как же защититься, остановить, прекратить сетевые атаки DoS.Win.CVE-2021-31166.a остался актуальным. Поиск на сайте Microsoft предоставил надежду за счет изложенного описания на странице Exploit:Python/CVE-2021-31166. В статье было указано на то, что "Microsoft Defender Antivirus detects and removes this threat." - Microsoft Defender Antivirus ("Защитник Windows"), если он установлен, обнаруживает проблему и устраняет угрозу. Но это не подходило в данному случае, т.к. "Защитник Windows" был отключен из-за того, что использовался антивирус KIS:

как устранить, остановить сетевую атаку в Windows DoS.Win.CVE-2021-31166
Рис. 3. Защитник Windows отключен и не ведет наблюдение за компьютером


 

Что же еще Microsoft предлагало сделать, чтобы устранить угрозу DoS.Win.CVE-2021-31166.a? "Use the following free Microsoft software to detect and remove this threat" - предлагалось использовать на выбор из предложенных программ для обнаружения и устранения проблемы. "Windows Defender for Windows 10 and Windows 8, or Microsoft Security Essentials for Windows 7 and Windows Vista" - использовать программу Windows Defender для ОС Windows 10 и Windows 8 или программу Microsoft Security Essentials для операционных систем Windows 7 и Windows Vista". Или последний вариант - программу Microsoft Safety Scanner.

Нажатие на изображении увеличит его
решение, как защититься, остановить сетевые атаки DoS.Win.CVE-2021-31166.a
Рис. 4. Описание рекомендаций по устранению угрозы сетевой атаки DoS.Win.CVE-2021-31166 на сайте Microsoft

Если бы все же программа "Защитник Windows" была активна и не использовалась другая антивирусная программа, то тогда последовательность действий была бы стандартной при работе с "защитником", как описано в статье на сайте microsoft.com Защита с помощью панели "Безопасность Windows"

Нажатие на изображении увеличит его
Руководство, описание, инструкция как работать с Windows Defender для остановки сетевой атаки DoS.Win.CVE-2021-31166.a
Рис. 5. Описание на сайте support.microsoft.com о том, как работать со встроенной функцией "Безопасность Windows", которая предоставляет последние обновления для антивирусной защиты

Программа Microsoft Safety Scanner была скачана по предоставленной ссылке c docs.microsoft.com в статье с описанием возможных вариантов решения и устранения угрозы. На странице скачивания нужно отметить важное замечание: "Safety Scanner only scans when manually triggered and is available for use 10 days after being downloaded. We recommend that you always download the latest version of this tool before each scan." - Сканер безопасности сканирует только при ручном запуске и доступен для использования в течение 10 дней после загрузки. Рекомендуется всегда загружать последнюю версию этого инструмента перед каждым сканированием. Был скачан файл сканера для x64-разрядности ОС - msert.exe.

инстуркция, руководство, программа Microsoft Safety Scanner для устранения DoS.Win.CVE-2021-31166.a
Рис. 6. Загруженный с сайта Microsoft исполняемый файл программы Microsoft Safety Scanner - MSERT.exe


 

Файл был запущен. Он не требует специальной установки. Следуя шагам помощника вручную полная проверка сканнера запускается.

лицензионное соглашение в Microsoft Safety Scanner
руководство, инструкция, описание действий в программе Microsoft Safety Scanner
Рис.7, 8. Принятие лицензионного соглашения при запуске программы и переход к вариантам сканирования в Safety Scanner

На следующем шаге предлагается выбрать вариант сканирования. Quick scan - быстрое сканирование (сканируются системные каталоги, если находятся подозрительные программы, то можно запустить полное сканирование). Full scan - полное сканирование всех файлов на компьютере, может занять несколько часов. Customized scan - выборочное сканирование - можно вручную указать области для сканирования. Но, т.к сетевая аката - это не шутки, то лучше использовать полное сканирование. Выбираем его и переходим к следующему шагу, нажав "Далее >".

выбор варианта сканирования в Microsoft Safety Scanner
Рис. 9. Выбор варианта сканирования программой Safety Scanner

Запуститься сканирование. Придется ожидать достаточно продолжительное время, пока программа просканирует все файлы на предмет наличия угроз. В течение почти 5,5 часов работы и проверки более 10 млн. файлов было обнаружено 31 инфицированный.

как выполнить сканирование, поиск вирусов, шпионских программ с помощью Microsoft Safety Scanner
Рис. 10. Процесс полного сканирования с помощью программы Microsoft Safety Scanner

После окончания выполнения сканирования программа сообщить об окончании сканирования и что обнаруженные вирусы, шпионские программы и другие потенциально опасные были обнаружены и удалены - "The scan completed successfully and viruses, spyware, and other potentially unwanted software were detected adn removed". Можно просмотреть результат сканирования подбробно - "View detailed results of the scan".

как остановить сетевую атаку DoS.Win.CVE-2021-31166.a с помощью Microsoft Safety Scanner
Рис. 11. Завершение процесса сканирования файлов на вирусы, шпионски программы и угрозы с помощью Microsoft Safety Scanner

После всех этих операция сетевые атаки прекратились.

На основании описанных событий можно сделать вывод о том, что одной только антивирусной программы для построения защиты от вирусов и сетевых атак недостаточно. Пожалуй, неплохо с уязвимостями самой ОС Windows будет справляться и программа от разработчика Microsoft Safety Scanner, поскольку они раньше остальных могут узнать об угрозах, чем разработчики сторонних защитных программ.

Оцените, оказалась ли эта публикация полезна для Вас?

© www.azhur-c.ru 2013-2020. Все права защищены. Использование текстов и изображений с данной страницы без письменного разрешения владельца запрещено. При использовании материалов с данной страницы обязательно указание ссылки на данную страницу.

13-06-2022

Журавлев А.С. (Сайт azhur-c.ru)

Назад

 
 

Здесь можно
приобрести лицензии

1С 8
​ и типовые решения

ural-rosaudit.ru - Аудит в сфере ЖКХ, www.ural-rosaudit.ru
azhur-blog.ru - мошенничество в интернете, www.azhur-blog.ru
info-compas.ru - каталог, инфокурсы, видеокурсы, видео курсы, обучение он-лайн, www.info-compas.ru
https://vk.com/effective_ideas - Группа вКонтакте Методы заработка и работы при помощи Интернет

 

Проверить аттестат
Cистема приема платежей, касса для сайта
Cистема управления контентом Santafox&trade. Санкт-Петербург, Ленинский проспект, д. 23 (812) 545-47-48
Яндекс.Метрика