🪲 Продолжаем сагу о том, как устроены антивирусы

Защитные решения — это синергия нескольких продуктов, но за каждым из них — множество инструментов и технологий, и у всех свои задачи по обнаружению и блокировке угроз.

В прошлой статье наши коллеги из PT Expert Security Center разобрали антивирусные решения по компонентам и рассказали, на каких движках те могут работать. Во второй части вы узнаете, почему вредоносы не пройдут и какими способами можно узнать их из тысячи (если вы антивирус, конечно).

В статье эксперты подробно рассказали о методах:

👾 Статический анализ — когда у антивируса есть база сигнатур и хешей и он ищет что-то похожее в структуре, библиотеках и коде полученных файлов, не запуская их.

👾 Динамический анализ — когда файл запускается, чтобы по его поведению стало ясно, заражен он ВПО или нет.

👾 Анализ в эмуляторе — тут предполагаемые вирусы изолируют и создают для них ловушки — например, фальшивые файловые системы, чтобы они начали проявлять активность.

👾 Эвристический анализ — выявляет вирусы по их поведению в файлах. Для этого отслеживаются характерные признаки подозрительной активности, а специальные алгоритмы исследуют код в поисках потенциально опасных фрагментов.

👾 И наконец, анализ сетевого трафика — он позволяет отслеживать сетевую активность, чтобы обнаружить вредоносные соединения и подозрительное поведение программ.

Читайте материал на Anti-Malware.ru, чтобы разобраться во всем детально и понять, в каких случаях эти методы работают, а в каких нет.

#PositiveЭксперты
@Positive_Technologies

👽 Взлом крупных финансовых компаний — это не только цель хакеров, но и челлендж для редтимеров из PT SWARM

Как ребята готовились и проводили атаки при помощи социальной инженерии, что из этого вышло и чем помогло клиентам, подробно рассказал в своей статье для Positive Research Константин Полишин, руководитель группы Red Team SE отдела тестирования на проникновение Positive Technologies.

Вы удивитесь, как много можно узнать о компании, применяя лишь методы пассивной разведки. Например, используемый стек технологий легко находится в вакансиях для айтишников и резюме сотрудников. А корпоративные адреса — в публичных утечках данных и логах инфостилеров. А уж если искать информацию активно — можно собрать из разных источников целые досье на предполагаемых жертв.

🎣 Дальше остается тщательно подобрать фокус-группу, разработать фишинговый сценарий и раз за разом забрасывать удочку, пока не сработает. Для этого редтимеры (как и предполагаемые злоумышленники) тщательно изучают содержимое почтовых ящиков, ключевые слова в письмах, корпоративный стиль общения, внутреннюю жизнь и процессы в компании.

👽👽 Хотите посмотреть на атаку изнутри в мельчайших деталях? Читайте крутое журналистское расследование новый материал в нашем медиа.

#PositiveResearch
@Positive_Technologies

Что происходит, когда вредонос попадает в PT Sandbox? 🤨

Для него начинается киберприключение в изолированной среде, которое всегда заканчивается ☠️

О том, как это работает, на вебинаре 17 июня в 14:00 расскажет Шаих Галиев, руководитель отдела экспертизы PT Sandbox из антивирусной лаборатории PT ESC.

На трансляции вас ждут:

🤗 Аналитика эффективности поведенческого анализа при выявлении неизвестных угроз

✅ Реальные кейсы обнаружения сложных вредоносных программ

🔄 Обновленная экспертиза PT Sandbox для точного детектирования вредоносов

Регистрируйтесь заранее на нашем сайте, чтобы обсудить возможности нашего продукта вместе с экспертом.

#PTSandbox
@Positive_Technologies

🎁 Представляем новую версию PT Container Security — 0.7

Главное в релизе — мультикластерность и поддержка защиты всех кластеров в инфраструктуре из единой точки управления.

Что это дает

Продукт позволяет развернуть все агенты защиты в каждом кластере инфраструктуры клиентов и централизовать контроль безопасности контейнеров. За счет этого сокращается время реагирования на инциденты, а расследовать и анализировать их становится удобнее.

Кроме того, инженеры и аналитики SOC могут:

🔴 подключать в каждом из дочерних кластеров только нужные сенсоры безопасности для экономии ресурсов;

🔴 использовать внешние менеджеры и хранилища, чтобы снизить потребление ресурсов и затраты на инфраструктуру для сбора и обработки больших потоков событий;

🔴 применять общий механизм аутентификации для всех кластеров, чтобы надежнее контролировать доступ к чувствительной информации.

«Наш подход к процессу обработки данных от сенсоров и микросервисная архитектура позволяют построить оптимальную конфигурацию безопасности мультикластерных сред контейнеризации, в которой пользователь получит лучшее отношение потребляемых ресурсов к величине обрабатываемого потока событий безопасности», — комментирует Михаил Бессараб, руководитель продукта PT Container Security.

👀 Подробнее обо всех возможностях новой версии PT Container Security мы написали на сайте.

#PTContainerSecurity
@Positive_Technologies

🕵️ Пятнадцать лет назад был обнаружен сетевой червь Win32/Stuxnet

Он считается первым в истории кибероружием, которое нанесло масштабные разрушения в физическом мире (и да, это недопустимое событие).

🎯 Основной целью Stuxnet были центрифуги для обогащения урана на иранском заводе в Нетензе

Сетевой червь вмешивался в работу промышленного оборудования — программируемых логических контроллеров (ПЛК) Siemens и рабочих станций SCADA-системы Simatic WinCC.

Предполагается, что заражение происходило из-за внутренних нарушителей (через USB-накопители), так как системы завода были изолированы от внешнего мира. Используя четыре уязвимости нулевого дня в Windows, Stuxnet заражал устройства под управлением этой ОС. Затем он искал системы с установленным ПО для управления ПЛК Simatic Step7, а после этого модифицировал исполняемый код внутри контроллеров.

Stuxnet заставлял центрифуги вращаться с опасными колебаниями скорости, что приводило к их постепенному разрушению. В результате из строя было выведено около тысячи центрифуг.

🔍 Впервые Stuxnet обнаружила команда белорусской компании «ВирусБлокАда» (в начале этого года Positive Technologies приобрела долю вендора).

Один из клиентов «ВирусБлокАда» — иранская компания — сообщила о странных сбоях Windows-систем, происходящих без видимой причины. При первичном анализе выяснилось, что заражение происходит при открытии ярлыков (файлов .lnk) с USB-накопителя, вредоносное ПО устанавливало два драйвера (руткиты), которые использовались для внедрения в системные процессы и сокрытия самого вредоноса.

После обнаружения Stuxnet:

• Microsoft выпустила экстренное обновление, закрывшее уязвимость в .lnk-файлах Windows. Позже были устранены и другие уязвимости, которые использовал сетевой червь.

• Siemens опубликовала руководство по обнаружению и устранению вредоноса. Производители ПЛК начали внедрять контроль целостности кода и системно подходить к защите промышленного ПО.

• Антивирусные компании выпустили обновления сигнатур и инструменты удаления Stuxnet.

🤗 История со Stuxnet стала началом появления кибероружия, которое влияет на физический мир

Чтобы обеспечить полную защиту конечных устройств, а также киберустойчивость инфраструктур наших клиентов, эксперты Positive Technologies совместно с командой «ВирусБлокАда» работают над усовершенствованием антивирусных технологий в наших продуктах.

С прошлого года они добавлены в песочницу PT Sandbox, до конца лета появятся в MaxPatrol EDR (продукте для выявления киберугроз на конечных устройствах и реагирования на них), до конца года в PT ISIM (системе мониторинга безопасности промышленных инфраструктур), а также экспертиза будет использоваться в PT NGFW (межсетевом экране нового поколения).

@Positive_Technologies

🔎 Эксперты PT SWARM помогли усилить безопасность «Яндекс Телемост» для Windows

По оценкам TelecomDaily, это приложение является наиболее популярным среди отечественных сервисов для видеоконференций и занимает 19% российского рынка.

Недостаток безопасности CVE-2024-12168 получил оценку 8,4 балла по шкале CVSS 4.0, что означает высокий уровень опасности. При его успешной эксплуатации хакеры могли бы получить доступ к рабочей станции в корпоративной сети жертвы или, при другом векторе атаки, распространять вредоносное ПО под видом «Яндекс Телемоста».

«Для закрепления на рабочей станции пользователя злоумышленнику достаточно было бы загрузить свою вредоносную DLL-библиотеку в папку с уже установленным „Яндекс Телемостом“. Права локального администратора для этого не требовались, а вредоносный код исполнялся бы при каждом запуске „Телемоста“. В результате факт закрепления мог бы остаться незамеченным, так как сценарий атаки является достаточно специфичным для большинства классических антивирусных решений», — отмечает Иван Суслопаров, эксперт команды PT SWARM.

🗂 Еще один вариант использования уязвимости — распространение, например через фишинговые атаки, модифицированного архива, где вместе с оригинальным «Яндекс Телемостом» содержалась бы специально сформированная вредоносная DLL-библиотека. В этом случае клиентское приложение «Яндекс Телемост», которое Windows считает безопасным из-за официальной цифровой подписи компании, на самом деле могло бы запустить вредоносный код, при этом защитные механизмы ОС не выдали бы никаких сообщений об угрозе.

Один из примеров использования найденной уязвимости белыми хакерами — получение командой PT SWARM начального доступа к инфраструктуре финансовой компании в ходе проекта по анализу защищенности. Метод DLL Side-Loading среди прочего использовался киберпреступниками из Team46, в недавних вредоносных кампаниях EastWind и DarkGate, а также при распространении трояна удаленного доступа PlugX.

⚠️ Мы уведомили вендора об угрозе, и команда «Яндекс 360» оперативно приняла меры в рамках налаженного процесса управления уязвимостями. Для защиты пользователям необходимо обновить приложение до версии 2.7 или выше.

#PTSWARM
@Positive_Technologies

😱 Уязвимости снова всплыли на проде? Проблема — не в сканерах

Проблема в том, что безопасность не встроена в процесс разработки. Онлайн-практикум по безопасной разработке от Positive Education — это способ перестроить работу команды, а не просто пройти «обучение».

🔥 Он стартует 30 июня, и за шесть недель вы:

• разберете реальные кейсы AppSec-внедрений

• освоите SAST, DAST, SCA, фаззинг, threat modeling

• прокачаете навыки на облачном стенде

• получите поддержку инженеров и полезные материалы для работы

🎤 Кто ведет:

Артем Пузанков — выстраивал AppSec-процессы в enterprise-компаниях.

Светлана Газизова — внедряла DevSecOps в «невнедряемых» условиях.

Алексей Жуков — практик, прошедший путь от стажера до лидера AppSec.

И еще шесть инженеров Positive Technologies, которые ежедневно решают задачи безопасной разработки на практике.

Покажем, как ускорять релизы, снижать издержки и наконец договориться с разработчиками 🤝

🤩 Узнать подробности вы можете на сайте Positive Education.

#PositiveEducation
@Positive_Technologies

Первый день ПМЭФ завершен, но впереди еще много интересного 😎

Стенд Positive Technologies — эпицентр кибердвижухи. Мы демонстрируем наши технологичные продукты и решения, которыми интересуются гости из самых разных отраслей и стран.

А еще здесь проходит кибербитва Standoff в спецформате: сотни защитников со всего мира расследуют атаки в двух отраслях, макеты которых представлены на стенде 👽

Если вы на ПМЭФ, не проходите мимо (Сектор Е, Территория инноваций).

@Positive_Technologies

✍️ На ПМЭФ мы подписали соглашение о стратегическом партнерстве с фондом «Московский инновационный кластер»

Основная цель сотрудничества — применение лучших практик построения кибербезопасности.

«Нас интересует сотрудничество, которое объединяет научный, производственный и отраслевой потенциал. Взаимодействие с „Московским инновационным кластером“ поможет сделать наши технологии доступнее. Это важный шаг в сторону устойчивого технологического развития, которое невозможно без обеспечения киберустойчивости», — отметил Владимир Клявин, коммерческий директор Positive Technologies.

«Московский инновационный кластер» объединяет более 40 тысяч компаний из Москвы и других регионов России, которым доступны свыше 50 цифровых сервисов и услуг от города. Фонд будет содействовать продвижению решений Positive Technologies в деловом пространстве Москвы, включающем государственный сектор и крупные корпорации.

«Подписание соглашения открывает новые возможности для защиты и развития цифровой инфраструктуры города Москвы. Мы уверены, что наш опыт в организации пилотирования и масштабировании инноваций позволит технологическим компаниям быстрее выходить на рынок и развивать конкурентоспособные решения», — считает генеральный директор фонда Алексей Парабучев.

Совместно мы будем масштабировать и популяризировать применение проверенных технологических продуктов в области ИБ, планируется проводить совместные обучающие программы и форумы.

🤝 Подробнее о партнерстве рассказали в новости на нашем сайте.

@Positive_Technologies