Новая версия PT Sandbox ловит атаки на Astra Linux и обнаруживает буткиты

Вт 27 Сентябрь 2022 14:57

Positive Technologies выпустила новую версию песочницы для риск-ориентированной защиты — PT Sandbox 4.3. Главное в релизе — добавление кастомизированной среды операционной системы Astra Linux, благодаря которой песочница теперь выявляет атаки с применением специфического вредоносного ПО, заточенного под данную ОС, а также обнаружение нового класса ВПО — буткитов, набирающих популярность у злоумышленников . На российском рынке сетевых песочниц защита от подобного рода киберугроз представлена впервые.

PT Sandbox 4.3 получил поддержку ОС Astra Linux — отечественного дистрибутива Linux, на который, согласно сообщениям СМИ, переходят государственные органы, госкорпорации и компании с госучастием. Новая возможность по кастомизации виртуальной среды для анализа поведения файлов позволяет госсектору и отечественным организациям, как уже использующим данный софт, так и планирующим установить его в рамках импортозамещения, выявлять сложные атаки с применением современного вредоносного ПО, специально заточенного под их инфраструктуру и рабочие станции.

« По данным наших исследований , государственный сектор ежегодно возглавляет рейтинг наиболее часто атакуемых отраслей. Многолетний опыт и экспертиза Positive Technologies показывают, что злоумышленники всегда атакуют через то программное обеспечение, которое используют их потенциальные жертвы. А значит, в ближайшее время можно ожидать появления вредоносного ПО и хакерских инструментов, разработанных под отечественные операционные системы, в частности Astra Linux, — комментирует Сергей Осипов, руководитель направления защиты от вредоносного ПО Positive Technologies. — Зловреды, нацеленные на эту ОС, имеют совершенно иное поведение, нежели те, что применяются для атак на Windows-системы и хорошо распознаются нашей песочницей. Чтобы и в новых условиях обеспечивать безопасность отечественных ведомств и организаций, мы написали для PT Sandbox специальные правила, которые детектируют вредоносную активность в Astra Linux и покрывают реальные техники из матрицы MITRE ATT&CK, используемые злоумышленниками для обхода сетевых песочниц».

Начиная с версии 4.3 PT Sandbox обнаруживает еще один опасный класс вредоносного ПО — буткиты. Проведенное Positive Technologies исследование этого вида вредоносных программ показало , что сейчас буткиты набирают популярность: киберпреступники, в том числе APT -группировки, такие как Careto, Winnti (APT41) и FIN1, все чаще используют их в целевых и массовых атаках. Буткиты внедряются до загрузки операционной системы и помогают другим зловредам незаметно закрепиться в ней до запуска. Для их выявления специалисты экспертного центра безопасности Positive Technologies ( PT Expert Security Center ) разработали технологию, не имеющую аналогов на российском рынке песочниц. Специальный плагин bootkitmon в PT Sandbox детектирует буткиты как старого образца (разработанные под BIOS), так и современные (ориентированные на прошивку UEFI, например Mosaic Regressor, TrickBoot и FinSpy) на всех этапах их работы.

«Регулярное появление уязвимостей в прошивках дает злоумышленникам новые векторы для успешных атак. Это также подстегивает развитие буткитов, которые помогают атакующим надежно и насколько возможно долго скрываться в инфраструктуре скомпрометированных компаний, — говорит Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО Positive Technologies. — В PT Sandbox реализован механизм выявления буткитов не только на начальном этапе инфицирования, но и на стадии перезагрузки ОС, когда уже после загрузки компьютера вредонос начинает действовать. Режим анализа с перезагрузкой системы позволяет пользователям песочницы Positive Technologies продолжить наблюдение за этой стадией и, если буткиту ранее все же удалось незаметно выполнить заражение, получить детальную информацию о его поведении. Это поможет своевременно остановить угрозу».

PT Sandbox 4.3 уже доступен для пользователей. Оставить заявку на бесплатный пилот можно по ссылке . Действующие пользователи могут обновить версию продукта, обратившись к партнерам Positive Technologies или в техническую поддержку.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 259 дней 22 часа 42 минуты 56 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.