Positive Technologies выпустила новую версию сетевой песочницы для защиты от сложного вредоносного ПО и угроз нулевого дня — PT Sandbox 5.6. В числе ключевых изменений — проверка ссылок по индикаторам компрометации с помощью PT IoC[1], мониторинг сетевых портов при поведенческом анализе в Linux-системах, а также распаковка при статическом анализе установочных пакетов, сжатых при помощи популярных упаковщиков (например, ASPack, UPX).
PT Sandbox первым среди продуктов Positive Technologies получил интеграцию со средством проверки ссылок по индикаторам компрометации Positive Technologies Indicators of Compromise (PT IoC). Технология от отдела обнаружения вредоносного ПО Positive Technologies обогащает детекты и избавляет от необходимости писать точечные правила, что позволяет аналитикам ИБ быстрее и более полно проводить анализ киберинцидента. Благодаря этому дополнительному набору экспертизы в PT Sandbox повыcилась точность и скорость обнаружения угроз. Например, теперь в точечном срабатывании указывается класс вредоносной программы, ее название или имя эксплойта.
В новой версии песочницы расширена экспертиза сетевой аналитики. Сейчас при поведенческом анализе файлов в ОС семейства Linux выполняется мониторинг сетевых портов. Модифицируя вредоносы, киберпреступники реже всего изменяют их трафик. Чтобы отслеживать сетевые соединения, инициированные конкретным ВПО, специалисты Positive Technologies категоризировали точечные угрозы. Для этого они воспользовались более 7 тысячами сетевых правил, позволяющих системе анализа трафика PT Network Attack Discovery выявлять атаки на периметре и внутри сети.
В массовых атаках злоумышленники главным образом применяют упаковщики, чтобы обходить средства защиты. Эти программы сжимают исполняемые файлы, скрывая вредоносный код. Начиная с версии 5.6 при статическом анализе PT Sandbox распаковывает установочные пакеты, созданные при помощи таких популярных утилит, как ASPack, FSG, MPRESS, PECompact и UPX. Это позволяет песочнице Positive Technologies эффективно обнаруживать работу пентестерского и хакерского инструментария, которого невозможно выявить динамически.
При проверке PDF-файлов PT Sandbox 5.6 теперь относит к потенциально опасным те из них, которые зашифрованы, содержат объекты OLE[2], сценарии JavaScript или в которых настроены действия при открытии, так как файл может запустить обращение к вредоносному ресурсу. При необходимости клиент может отключить эту функцию. Кроме того, пользователи могут задать любые другие критерии для определения небезопасных PDF-документов.
Еще одно важное дополнение — распаковка установочных пакетов DEB[3] при поведенческом анализе. Продукт разбирает и проверяет на вредоносное содержимое не только сам пакет для установки приложений, но и по отдельности все файлы в нем.
«Ключевая особенность обновленного PT Sandbox — более гибкое управление процессами анализа. При этом сами проверки стали более комплексными и глубокими и теперь дают еще более точные результаты. Например, песочница анализирует безопасность ссылок не только в теле письма, но и во вложенных файлах. За счет фундаментального разбора опасных форматов файлов (например, пакетов установки RPM, ARJ-архивов) мы увеличили качество детектирования вредоносного ПО, а также дали возможность пользователям влиять на работу продукта, — рассказывает Сергей Осипов, руководитель направления защиты от вредоносного ПО в Positive Technologies. — Поддержка интеграций с другими экспертными системами, созданными как нашей, так и другими компаниями (например, „NANO Антивирус” от NANO Security), расширяет область обнаружения и повышает знание PT Sandbox о пойманных вредоносах».
Обо всех основных новинках в PT Sandbox команда расскажет 28 ноября в 14:00 на вебинаре «PT Sandbox крупным планом: обновления в продукте».
[1] Indicators of compromise — индикаторы компрометации, признак подозрительной активности или вредоносного объекта в IT-инфраструктуре организации. Такие признаки могут указывать на развитие атаки злоумышленниками.
2 Технология связывания и внедрения объектов в другие документы и объекты, разработанная компанией Microsoft.
3 Формат пакетов программного обеспечения, используемого для Debian и производных дистрибутивов, таких как Linux Mint, Kali Linux, Ubuntu.
[1] Indicators of compromise — индикаторы компрометации, признак подозрительной активности или вредоносного объекта в IT-инфраструктуре организации. Такие признаки могут указывать на развитие атаки злоумышленниками.
[2] Технология связывания и внедрения объектов в другие документы и объекты, разработанная компанией Microsoft.
[3] Формат пакетов программного обеспечения, используемого для Debian и производных дистрибутивов, таких как Linux Mint, Kali Linux, Ubuntu.