Антивирусы Outpost Pro "похудели" с обновлением ядра

Компания Agnitum сообщает о переводе антивирусных продуктов Outpost Pro на версию ядра 5.2 и новый формат вирусных баз, что привело к уменьшению размера загрузочных файлов и оптимизации быстродействия и детектирования вирусов.

В минувшие выходные пользователи антивирусных продуктов Outpost автоматически получили обновление антивирусного механизма и базы вирусных сигнатур (размер обновления составил порядка 50 Мб). Новый механизм в версии 5.2 работает с базой сигнатур 13-ой версии (предыдущая, 12-ая версия, была впервые внедрена в продукт около года назад).

Обновленный модуль "Антивирус+Антишпион" позволяет значительное увеличить детектирование вирусов благодаря увеличению покрытия обнаруживаемых вредоносных и шпионских программ на 1 сигнатуру. Новые оптимизированные алгоритмы для управления и хранения базы вирусов приводят практически к 50%-ному уменьшению использования памяти антивирусным ядром.

Новая технология также способна бороться против определенных труднодетектируемых образцов вредоносного когда. Обновленный и теперь управляемый компонент модуля Антивирус+Антишпион может теперь проводить анализ кода более точно, что ведет к следующим преимуществам антивирусного ядра версии 5.2:

  • Скорость сканирования улучшилась до 20% (в зависимости от типа файлов – измерено на архивных форматах TGZ, ZIP и ARJ, скриптах, исполняемых и PDF-файлах) 
  • Модуль сканирования PDF файлов более устойчив к ошибкам, что дает возможность эффективнее обрабатывать нестандартные файлы.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры используют встроенную в SQL Server утилиту для скрытной разведки

Специалисты Microsoft выявили новую вредоносную кампанию: злоумышленники взламывают серверы SQL и используют легитимную PowerShell-утилиту для закрепления в системе и проведения разведки. Атаки не оставляют следов в виде файлов, и действия хакеров долго остаются незамеченными.

Как сообщает The Hacker News со ссылкой на твиты Microsoft, для получения доступа к системе атакующие используют брутфорс, а затем инициируют запуск sqlps.exe, чтобы обеспечить себе постоянное присутствие. Новую угрозу эксперты классифицируют как трояна и нарекли ее SuspSQLUsage.

Утилита sqlps.exe по умолчанию включена в пакет SQL Server, чтобы можно было запустить агент SQL — Windows-службу для выполнения запланированных заданий средствами подсистемы PowerShell. Авторы атак используют эту PowerShell-оболочку для запуска командлетов, позволяющих провести разведку и изменить режим запуска SQL-сервиса на LocalSystem.

Эксперты также заметили, что тот же вредоносный модуль применяется для создания нового аккаунта в группе пользователей с ролью sysadmin. Такой трюк открывает возможность для захвата контроля над SQL-сервером.

Конечная цель текущих атак пока неизвестна, установить инициаторов тоже не удалось. Штатные средства Windows, в особенности PowerShell и WMI, любят использовать APT-группы, чтобы скрыть вредоносную активность в сети жертвы. Тактика известна как LotL, Living-off-the-Land; непрошеное вторжение при этом трудно выявить традиционными средствами: без непрерывного мониторинга работа легитимного инструмента не вызовет подозрений, сигнатурный анализ бесполезен — артефакты, способные насторожить антивирус, в LotL-атаках обычно отсутствуют.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru