«Облачный привратник» от IBM обеспечит защиту для виртуальных машин

«Облачный привратник» от IBM обеспечит защиту для виртуальных машин

...

Компания IBM разработала новую систему антивирусной защиты для виртуальных машин. Система призвана упростить процесс обнаружения вредоносного программного обеспечения на виртуальных дата центрах, а так же способна обнаружить сложные для идентификации руткиты.

Согласно сообщению, виртуальная система защиты или Virtual Protection System (VPS) от IBM, представляет собой программное обеспечение, которое работает вне виртуальной машины и способно обнаружить потенциальную угрозу на любой виртуальной машине сервера. Поскольку VPS работает не зависимо от операционной системы виртуальной машины, она способна детектировать достаточно сложные для идентификации вредоносы - руткиты.

Согласно заявлению старшего менеджера исследовательского отдела по безопасности компании IBM, Джуниора Рао, VPS так же упрощает работу администраторам, поскольку система способна обеспечить защиту для нескольких виртуальных машин, находящихся на одном сервере, соответственно не требуется управлять отдельными АВ приложениями для каждой виртуальной системы.

Помимо VPS, IBM предлагает комплексный виртуальный центр обработки данных - Integrated Trusted Virtual Data Center (ITVDC), который позволяет пользователям установить определенный функционал для определенной виртуальной машины, тем самым предупредив использование одной и той же системы двумя конкурирующими компаниями.

Оба продукта доступны на сайте IBM.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Нового трояна-полиморфика раскусили лишь два антивируса на VirusTotal

Анализ обнаруженного на VirusTotal образца Python-зловреда показал, что это троян удаленного доступа, умеющий изменять свой код при каждом исполнении. Других свидетельств существования этого RAT исследователь пока не нашел.

По состоянию на 9 октября новичка опознают как угрозу лишь два антивируса из 63 в коллекции VirusTotal.

Способность вредоносов на лету слегка изменять свой код для обхода сигнатурного анализа известна как полиморфизм. Новый RAT с этой целью использует две функции: self_modifying_wrapper() и and polymorph_code().

Первая выполняет операции XOR с произвольным ключом над критически важными фрагментами кода. При этом распаковка и упаковка осуществляются в памяти, без записи результатов на диск.

 

Механизм polymorph_code заполняет код мусором, меняет имена переменных, перетасовывает определения функций, привносит пустые операции.

 

В результате подобных преобразований хеш вредоносного файла при каждом запуске изменяется, что существенно снижает уровень детектирования.

В остальном новобранец схож с собратьями. Он умеет по команде сканировать сети, открывать доступ к аккаунтам перебором дефолтных учеток, эксплуатировать уязвимости в роутерах, загружать и запускать пейлоад, воровать и выводить данные, самостоятельно распространяться по сети.

Взаимодействие RAT с оператором осуществляется через Discord или Slack.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru