Blindspotter расширяет функционал анализа поведения пользователей

Blindspotter расширяет функционал анализа поведения пользователей

Blindspotter расширяет функционал анализа поведения пользователей

Balabit, анонсировал выпуск Blindspotter версии 2016.03. Последняя версия системы анализа поведения пользователей включает в себя несколько новых уникальных алгоритмов машинного обучения, которые помогут отделу ИБ быстро распознать взломанные учетные записи или обнаружить несанкционированную передачу аккаунта, что позволит избежать масштабных утечек данных.

Blindspotter не только выявляет ранее неизвестные угрозы, но и точно визуализирует их, позволяя организациям значительно сократить время обнаружения, расследования и реагирования на внутренние и внешние атаки.

Ключевые особенности Blindspotterверсии 2016.03:

  • Обнаружение системных учетных записей, используемых человеком, и личных аккаунтов, используемых в скриптах

Системные аккаунты, под которыми работают сотрудники, учетные записи общего пользования и личные аккаунты, используемые в скриптах, считаются потенциальных риском нарушения информационной безопасности в любой компании. Когда злоумышленник получает доступ к учетным данным, используемым в скрипте (особенно если речь идет об аккаунтах для административных задач), это может привести к масштабной утечке или уничтожению данных. Blindspotter способен отличить действия человека от автоматизированных операций и позволяет службе информационной безопасности обнаружить злоупотребления  личными или служебными учетными записями.

  • Анализ содержимого, отображаемого на экране

Основываясь на возможностях Balabit Shell Control Box, одном из ведущих на рынке решений по контролю и мониторингу действий пользователей, Blindspotter способен анализировать команды, использованные в протоколах SSH и Telnet, и находить потенциально рисковые операции. Начиная с  версии 2016.03 возможность детектирования рисковых операций также распространяется и на пользователей операционных систем Windows (рядовых, привилегированных или корпоративных), подключающихся к корпоративным системам через протокол удаленного рабочего стола (RDP). На основе анализа текста, появляющегося в графических протоколах на экране, взломанные учетные записи и внутренние злоумышленники теперь могут быть найдены и в среде Windows.

  • Биометрический анализ ввода данных пользователем

То, как мы работаем на наших компьютерах — это часть нашего цифрового отпечатка, характерная динамика нажатий клавиш клавиатуры и движения мышкой определяют нас так же, как и подпись на документах. Последняя версия Blindspotter способна анализировать и сопоставлять сигнатуры наших движений мышью и нажатий на клавиши, детектируя случаи, когда учетная запись используется кем-то, кроме проверенного пользователя. Биометрический анализ предоставляет новый способ аутентификации: он опирается на то, кем именно является пользователь, и не доверяет только факту успешной проверки пароля от аккаунта. Вместо однократной проверки подлинности пароля в начале сеанса предусматривается непрерывный анализ идентичности пользователя на всем протяжении его сессии. Новые возможности помогут службе информационной безопасности, избегая масштабных утечек данных и соблюдая законодательство, быстро обнаружить взломанные учетные записи или найти несанкционированную передачу аккаунта другому лицу, даже если хакеры успели пройти первую стадию — аутентификацию пользователя в системе.

«Кроме существующего набора нескольких сложных алгоритмов машинного обучения, в новом релизе Blindspotter улучшен функционал мониторинга и анализа поведения пользователей: добавлена возможность определения автоматизированных действий  личных аккаунтов и проводится биометрический анализ динамики нажатий клавиш клавиатуры и движения мыши сотрудника, отмечает Петер Гъёнгёши, менеджер по продукту Blindspotter компании Balabit. — Blindspotter позволяет ИТ-директорам и специалистам по информационной безопасности получить полную и уникальную визуализацию происходящего в ИТ-инфраструктуре. Чтобы лучше понимать, как ИТ-сервисы используются определенными сотрудниками или группами пользователей, менеджеры могут получить мгновенную и осязаемую информацию для принятия мер. В целом можно отметить, что Blindspotter улучшает свойства и возможности существующих ИБ-решений в компании, помогая оптимизировать ИТ-ресурсы и повысить эффективность бизнес-процессов».

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru