3 způsoby, jak může malware napadnout váš IFS

Dokonce i zkušení administrátoři IBM i někdy zpochybňují, zda je ochrana proti malwaru na této platformě nutná. Je pravda, že IBM i (AS/400, iSeries) nemůže být infikováno PC virem. Ale anti-malware software je nezbytný k tomu, aby IFS nesloužil jako hostitel a distribuční mechanismus pro viry a malware, a aby se zabránilo tomu, že viry nepřímo ovlivní provoz IBM i.

Pokud se integrovaný souborový systém (IFS) používá jako souborový server pro PC soubory, mohou soubory uložené na IFS potenciálně nést viry. Infikovaný soubor, který je uložen z PC na IFS a poté redistribuován na jiný PC, může přenést virus na tento nový počítač.

Podívejme se na tři konkrétní způsoby, jak se viry a malware mohou dostat na IFS.

Zobrazitelné sdílené složky

Jedním ze způsobů, jak může být virus šířen na IFS, je prostřednictvím zobrazitelných sdílených složek. Ve Windows se tyto složky nacházejí pod možností „síť“ úplně dole v levém postranním panelu nástroje Průzkumník souborů. Pokud není síťové zjišťování vypnuto, budete moci vidět všechny zobrazitelné sdílené složky, které existují ve vaší síti, jako dostupný zdroj.

Pokud malware infikuje zařízení připojené k síti vaší organizace, na kterém není síťové zjišťování vypnuto, útočník bude moci využít oprávnění tohoto uživatele. To znamená, že může potenciálně zobrazit, šifrovat, měnit a mazat všechny zobrazitelné sdílené složky v celé vaší síti, bez ohledu na to, zda jsou mapovány jako disk uživatelem. Stejný princip platí pro IP adresu serveru. Pokud útočník zná IP adresu a zjišťování je zapnuto, má přístup ke všem vašim sdíleným složkám.

Útoky vycházející ze zobrazitelných sdílených složek jsou z hlediska bezpečnosti složité. Zastavit je je obtížné, protože prováděné akce jsou platné a proto je obtížné je identifikovat jako škodlivé. Úplné odstranění sdílených složek může být užitečné, ale pokud jsou potřebné pro legitimní obchodní transakce, není to nejlepší řešení.

Vaše IBM i potřebuje správné nástroje k boji s dnešním malwarem. Powertech Antivirus pro IBM i používá technologii detekce na základě chování proti ransomwaru, aby vystopoval útočníky provádějící škodlivé akce proti vašim serverům. Tímto způsobem můžete splnit obchodní potřebu sdílení souborů, aniž byste ohrozili bezpečnost.

Katalogy obrazů

Katalogy obrazů, NFS připojení a UDFS připojení jsou dalším způsobem, jak se viry mohou šířit mezi servery. Katalog obrazů je v podstatě soubor, který se jinému systému jeví jako CD a často se používá pro načítání softwaru. IBM i používá katalogy obrazů k načítání Linuxu na oddíl. Viry, které infikovaly soubor v katalogu obrazů nebo virtuálním disku, budou spustitelné jakýmkoli vzdáleným serverem, který je používá.

Klientský přístup

Klientský přístup byl dalším zdrojem šíření virů. Jeden ze zákazníků Fortry je kontaktoval s problémem, který měl s viry v síti, které neustále reinfikovaly jejich PC, přestože provedli veškeré kroky k vyčištění.

Abychom to zkrátili, všechny PC používaly Klientský přístup (což všichni známe), a soubor setup.exe pro Klientský přístup, který je umístěn na IFS, byl infikován. Pokaždé, když PC spouštěly automatickou aktualizaci, což bylo každý den, spustily setup.exe soubor na IFS a znovu zahájily infekci virem.

Jsou Windows viry hrozbou?

Často vzniká zmatek ohledně toho, zda viry ve Windows mohou ovlivnit IBM i — tj. zda mohou ovlivnit výkon IBM i. Podstata je následující:

1. Viry nemohou být ukryty uvnitř RPG a CL programů.
2. Viry nemohou být ukryty uvnitř fyzických a logických souborů.
3. IBM i nemůže spustit .exe soubory, které obsahují viry.
4. IBM i může spustit Java a UNIX spustitelné soubory, které obsahují viry.
5. Viry mohou být skryty uvnitř Java a UNIX streamových souborů.

Viry ve Windows mohou ovlivnit IBM i například takto:

DOS příkaz by mohl být vydán k „vymazání všeho“ z adresáře, který je mapován na IBM i. Knihovny IBM i se zobrazí jako adresář pro škodlivý program nebo virus běžící na PC. Příkaz DEL *.* by mohl být použit k odstranění všech objektů v knihovně IBM i, čímž by byl systém nepoužitelný.

Viry mohou používat ODBC nebo JDBC ovladač klientského přístupu běžící na PC k provádění příkazů prostřednictvím SQL příkazů. Příklad může být Excel soubor s SQL příkazem, který zasílá příkaz clear lib QUSRSYS. Minimálně by to zničilo vše, co vlastní aktuální uživatel. Pokud by běžel pod profilem správce, virus by měl dostatečné oprávnění ke zničení operačního systému.

Závěrečné myšlenky

Ačkoli viry a malware nemusí IBM i infikovat tradičním způsobem, tyto škodlivé programy mohou mít devastující dopad, včetně dnů či týdnů výpadku. Pokud je vaše organizace povinna dodržovat normy jako PCI DSS, je ochrana proti malwaru nezbytná. I když nejste ovlivněni vládními či průmyslovými požadavky, zvažte, zda je riziko opodstatněné. Zahájit ochranu proti virům na IBM i (a AIX a Linuxu) je jednoduché a začíná bezplatným skenem, který identifikuje všechny hrozby, které se již na vašem systému nacházejí.

Požádejte si o bezplatný sken ještě dnes a začněte chránit své kličové servery.

Pro více informací nás kontaktujte:

Vilém Raichel, vilem.raichel@bakotech.com +420 734 542 498