27/09/22
Positive Technologies выпустила новую версию песочницы для риск-ориентированной защиты — PT Sandbox 4.3. Главное в релизе — добавление кастомизированной среды операционной системы Astra Linux, благодаря которой песочница теперь выявляет атаки с применением специфического вредоносного ПО, заточенного под данную ОС, а также обнаружение нового класса ВПО - буткитов, набирающих популярность у злоумышленников. На российском рынке сетевых песочниц защита от подобного рода киберугроз представлена впервые.
PT Sandbox 4.3 получил поддержку ОС Astra Linux - отечественного дистрибутива Linux, на который, согласно сообщениям СМИ, переходят государственные органы, госкорпорации и компании с госучастием. Новая возможность по кастомизации виртуальной среды для анализа поведения файлов позволяет госсектору и отечественным организациям, как уже использующим данный софт, так и планирующим установить его в рамках импортозамещения, выявлять сложные атаки с применением современного вредоносного ПО, специально заточенного под их инфраструктуру и рабочие станции.
«По данным наших исследований, государственный сектор ежегодно возглавляет рейтинг наиболее часто атакуемых отраслей. Многолетний опыт и экспертиза Positive Technologies показывают, что злоумышленники всегда атакуют через то программное обеспечение, которое используют их потенциальные жертвы. А значит, в ближайшее время можно ожидать появления вредоносного ПО и хакерских инструментов, разработанных под отечественные операционные системы, в частности Astra Linux, — комментирует Сергей Осипов, руководитель направления защиты от вредоносного ПО Positive Technologies. — Зловреды, нацеленные на эту ОС, имеют совершенно иное поведение, нежели те, что применяются для атак на Windows-системы и хорошо распознаются нашей песочницей. Чтобы и в новых условиях обеспечивать безопасность отечественных ведомств и организаций, мы написали для PT Sandbox специальные правила, которые детектируют вредоносную активность в Astra Linux и покрывают реальные техники из матрицы MITRE ATT&CK, используемые злоумышленниками для обхода сетевых песочниц».
Начиная с версии 4.3 PT Sandbox обнаруживает еще один опасный класс вредоносного ПО — буткиты. Проведенное Positive Technologies исследование этого вида вредоносных программ показало, что сейчас буткиты набирают популярность: киберпреступники, в том числе APT-группировки, такие как Careto, Winnti (APT41) и FIN1, все чаще используют их в целевых и массовых атаках. Буткиты внедряются до загрузки операционной системы и помогают другим зловредам незаметно закрепиться в ней до запуска. Для их выявления специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) разработали технологию, не имеющую аналогов на российском рынке песочниц. Специальный плагин bootkitmon в PT Sandbox детектирует буткиты как старого образца (разработанные под BIOS), так и современные (ориентированные на прошивку UEFI, например Mosaic Regressor, TrickBoot и FinSpy) на всех этапах их работы.
«Регулярное появление уязвимостей в прошивках дает злоумышленникам новые векторы для успешных атак. Это также подстегивает развитие буткитов, которые помогают атакующим надежно и насколько возможно долго скрываться в инфраструктуре скомпрометированных компаний, — говорит Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО Positive Technologies. — В PT Sandbox реализован механизм выявления буткитов не только на начальном этапе инфицирования, но и на стадии перезагрузки ОС, когда уже после загрузки компьютера вредонос начинает действовать. Режим анализа с перезагрузкой системы позволяет пользователям песочницы Positive Technologies продолжить наблюдение за этой стадией и, если буткиту ранее все же удалось незаметно выполнить заражение, получить детальную информацию о его поведении. Это поможет своевременно остановить угрозу».
PT Sandbox 4.3 уже доступен для пользователей. Оставить заявку на бесплатный пилот можно по ссылке. Действующие пользователи могут обновить версию продукта, обратившись к партнерам Positive Technologies или в техническую поддержку.
