Благодари пламя за свет его, но не забывай светильника, стоящего в тени с постоянством терпения.
Благодари пламя за свет его, но не забывай светильника, стоящего в тени с постоянством терпения.
Positive Technologies выпустила новую версию песочницы для риск-ориентированной защиты - PT Sandbox 4.3. Главное в релизе - добавление кастомизированной среды операционной системы Astra Linux, благодаря которой песочница теперь выявляет атаки с применением специфического вредоносного ПО, заточенного под данную ОС, а также обнаружение нового класса ВПО - буткитов, набирающих популярность у злоумышленников. На российском рынке сетевых песочниц защита от подобного рода киберугроз представлена впервые.
PT Sandbox 4.3 получил поддержку ОС Astra Linux - отечественного дистрибутива Linux, на который, согласно сообщениям СМИ, переходят государственные органы, госкорпорации и компании с госучастием. Новая возможность по кастомизации виртуальной среды для анализа поведения файлов позволяет госсектору и отечественным организациям, как уже использующим данный софт, так и планирующим установить его в рамках импортозамещения, выявлять сложные атаки с применением современного вредоносного ПО, специально заточенного под их инфраструктуру и рабочие станции.
"По данным наших исследований, государственный сектор ежегодно возглавляет рейтинг наиболее часто атакуемых отраслей. Многолетний опыт и экспертиза Positive Technologies показывают, что злоумышленники всегда атакуют через то программное обеспечение, которое используют их потенциальные жертвы. А значит, в ближайшее время можно ожидать появления вредоносного ПО и хакерских инструментов, разработанных под отечественные операционные системы, в частности Astra Linux, - комментирует Сергей Осипов, руководитель направления защиты от вредоносного ПО Positive Technologies. - Зловреды, нацеленные на эту ОС, имеют совершенно иное поведение, нежели те, что применяются для атак на Windows-системы и хорошо распознаются нашей песочницей. Чтобы и в новых условиях обеспечивать безопасность отечественных ведомств и организаций, мы написали для PT Sandbox специальные правила, которые детектируют вредоносную активность в Astra Linux и покрывают реальные техники из матрицы MITRE ATT&CK, используемые злоумышленниками для обхода сетевых песочниц".
Начиная с версии 4.3 PT Sandbox обнаруживает еще один опасный класс вредоносного ПО - буткиты. Проведенное Positive Technologies исследование этого вида вредоносных программ показало, что сейчас буткиты набирают популярность: киберпреступники, в том числе APT -группировки, такие как Careto, Winnti (APT41) и FIN1, все чаще используют их в целевых и массовых атаках. Буткиты внедряются до загрузки операционной системы и помогают другим зловредам незаметно закрепиться в ней до запуска. Для их выявления специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) разработали технологию, не имеющую аналогов на российском рынке песочниц. Специальный плагин bootkitmon в PT Sandbox детектирует буткиты как старого образца (разработанные под BIOS), так и современные (ориентированные на прошивку UEFI, например Mosaic Regressor, TrickBoot и FinSpy) на всех этапах их работы.
"Регулярное появление уязвимостей в прошивках дает злоумышленникам новые векторы для успешных атак. Это также подстегивает развитие буткитов, которые помогают атакующим надежно и насколько возможно долго скрываться в инфраструктуре скомпрометированных компаний, - говорит Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО Positive Technologies. - В PT Sandbox реализован механизм выявления буткитов не только на начальном этапе инфицирования, но и на стадии перезагрузки ОС, когда уже после загрузки компьютера вредонос начинает действовать. Режим анализа с перезагрузкой системы позволяет пользователям песочницы Positive Technologies продолжить наблюдение за этой стадией и, если буткиту ранее все же удалось незаметно выполнить заражение, получить детальную информацию о его поведении. Это поможет своевременно остановить угрозу".
PT Sandbox 4.3 уже доступен для пользователей. Оставить заявку на пилот можно по этой ссылке -->>. Действующие пользователи могут обновить версию продукта, обратившись к партнёрам Positive Technologies или в техническую поддержку.
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.