Positive Technologies
Новости

PT Sandbox теперь обнаруживает руткиты даже после заражения системы

Positive Technologies выпустила новую версию песочницы для риск-ориентированной защиты PT Sandbox — 2.4. В новом релизе продукта поддерживается не имеющая аналогов на российском рынке сетевых песочниц технология проактивного и скрытого детектирования руткитов как на этапе их установки, так и в процессе работы. Разработанный специалистами экспертного центра безопасности PT Expert Security Center плагин позволяет обнаруживать в системе присутствие вредоносного ПО и нелегитимную активность, которые хакеры обычно маскируют с помощью программ, называемых руткитами.

Руткиты не допускают обнаружения вредоносной активности средствами защиты и несут в себе угрозу, поскольку, как правило, входят в состав многофункционального вредоносного ПО. Из-за сложности разработки зловреды чаще всего используют группировки, обладающие достаточной технической квалификацией или финансовыми возможностями. С их помощью они маскируют получение удаленного доступа к скомпрометированным узлам, перехват сетевого трафика, шпионаж за пользователями, похищение сведений для аутентификации или проведение DDoS-атак. Согласно проведенному Positive Technologies масштабному исследованию руткитов, используемых киберпреступниками за последние 10 лет, в пятерку самых атакуемых отраслей входят госсектор (44%), наука и образование (38%), телеком (25%), промышленность (19%) и финсектор (19%).

«Незаметность и эффективность — параметры, которые выделяют разработанную нами технологию обнаружения руткитов среди других. Существующие сейчас методы противодействия основаны на том, чтобы запустить антируткитовое средство внутри ОС. Если руткит сделан качественно и уже установлен в ОС, выявить зловред таким способом в общем случае невозможно — он успешно блокирует любую возможность самообнаружения, — говорит Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. — Главная особенность технологии Positive Technologies состоит в том, что она находится за пределами ОС, то есть работает безагентно. Это позволяет PT Sandox детектировать руткиты не только на стадии установки, когда злоумышленники выполняют ряд вредоносных или как минимум подозрительных действий, но еще и после заражения системы. Этот подход пока не имеет аналогов на российском рынке сетевых песочниц».

Важно отметить, что при безагентном анализе руткиты не могут воспрепятствовать своему обнаружению. Помимо этого, данная технология позволяет песочнице Positive Technologies оставаться незамеченной вредоносным ПО.

«Существуют классические подходы сигнатурного и поведенческого анализа, с помощью которых обнаруживаются уже известные семейства руткитов и их установщиков. Благодаря проактивному методу защиты PT Sandbox выявляет угрозу в тот момент, когда она уже совершает свои опасные действия на уровне ядра ОС, — добавляет Павел Максютин, специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. — Кроме того, в отличие от аналогичных решений, наша песочница не препятствует работе руткита: его установка и функционирование проходят без вмешательств, а в ходе проверок на наличие средств защиты она не обнаруживается. Таким образом у злоумышленников не возникает подозрения, что их раскрыли».

Опция проактивного и незаметного обнаружения руткитов доступна пользователям новой и последующих версий PT Sandbox. Действующим пользователям, чтобы воспользоваться данной функцией, необходимо обновить продукт до версии 2.4.

PT Sandbox — песочница для защиты от целевых и массовых атак с применением неизвестного вредоносного ПО. Она поддерживает гибкую настройку виртуальных сред в соответствии с реальными рабочими станциями и надежно защищена от техник обхода песочниц. Продукт обеспечивает комплексный анализ файлов и трафика, включая шифрованный, а также выявляет скрытые и новейшие угрозы с помощью регулярного ретроспективного анализа.

PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies (PT Network Attack DiscoveryPT Application FirewallMaxPatrol SIEM) и обогащает их сведениями об угрозах, связанных с вредоносным ПО.