Panda Security объявила о выходе новой версии Panda Cloud Office Protection 5.05

Компания Panda Security объявила о выходе новой версии Panda Cloud Office Protection 5.05 для защиты рабочих станций и файловых серверов в корпоративных сетях. Продукт включает в себя ряд улучшений и новинок, которые позволяют упростить управление и сделать решение еще более эффективным. Также среди преимуществ отмечается усиление контроля над безопасностью корпоративных сетей и снижение включённости клиента в процесс управления. В результате клиенты получают упрощённое решение безопасности, способное обеспечить повышение маржинальности и текущего дохода. Кроме того, продукт теперь доступен и на русском языке.



В комплект Panda Cloud Protection входят три решения безопасности:
- Panda Cloud Office Protection, для защиты персональных компьютеров и серверов;
- Panda Cloud Email Protection, для корпоративной электронной почты;
- Panda Cloud Internet Protection для веб-трафика,

Пользователи всех трех решений теперь имеют доступ к ним через единую консоль, в которой содержится полная информация о статусе безопасности всей компании.

Новая версия Panda Cloud Office Protection 5.05 включает в себя мощные функции для определения тех систем, которые не контролируются данным решением и могут представлять угрозу, передает cybersecurity.ru. Решение отправляет администраторам предупреждение о существующей опасности, чтобы те могли защитить сети от любого типа атак. В новой версии Panda Cloud Office Protection 5.05 процесс деинсталляции защищен паролем, чтобы предотвратить произвольное удаление программы конечными пользователями. Кроме того, решение позволяет значительно уменьшить потребление канала связи.

Работа администратора стала проще благодаря тому, что больше не нужно создавать конфигурации профилей с нуля, так как теперь можно копировать и изменять существующие профили лишь одним нажатием кнопки. Управление рисками также усовершенствовано: добавлена функция запуска проверки конкретных файлов, во время которой используются база данных «Коллективного разума», что гарантирует максимальную степень обнаружения угроз.

Благодаря интеграции трех решений Panda Cloud Protection появилась возможность быстро определять вероятные способы получения дополнительных доходов и увеличения продаж не только через кросс-продажи, но и благодаря выявлению незащищенных компьютеров и серверов с помощью улучшенной системы мониторинга. Удаленное управление безопасностью теперь стало легче, так как это решение фокусируется на максимизации эффективности для партнеров. Теперь сервис-провайдеры могут экспортировать существующие профили безопасности другим клиентам, что значительно экономит время.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Зловред BPFDoor использует давнюю уязвимость в Solaris для получения root

Компания CrowdStrike опубликовала результаты анализа атак на Solaris и Linux с целью внедрения импланта BPFDoor. Как оказалось, в первом случае злоумышленники пытаются закрепиться в системе через эксплойт уязвимости, опубликованной в 2019 году.

Кастомный бэкдор BPFDoor отличает умение мастерски избегать обнаружения: его с 2018 года используют в целевых атаках, а заметили только в прошлом году. Кибергруппа, владеющая этим зловредом (известна как Red Menshen, в CrowdStrike ее нарекли DecisiveArchitect), предположительно имеет китайские корни и выбирает мишенями телеком-провайдеров, правительственные ведомства, учебные заведения и логистические компании.

Командный трафик BPFDoor (JustForFun в версии CrowdStrike) тщательно скрывается: управление осуществляется с использованием VPS-серверов и прокси на взломанных роутерах Тайваня. При такой схеме вредонос может получать команды с любого IP-адреса, к тому же ему не нужно с этой целью открывать какие-либо порты — только сырой сокет.

Новое исследование показало, что после получения доступа к Solaris злоумышленники пытаются применить эксплойт CVE-2019-3010 — PoC-код, опубликованный три года назад. Соответствующая уязвимость привязана к компоненту XScreenSaver и позволяет рядовому юзеру повысить привилегии до root; патч вышел в октябре 2019 года.

Необходимые для эксплойта бинарники обычно загружаются через пару минут после развертывания бэкдора. Последний при исполнении перезаписывает командную строку в рабочей среде своего процесса, выбирая невинную альтернативу из десяти возможных, вшитых в код. Этот прием призван скрыть взаимодействие BPFDoor с оператором; так, при проверке состояния процессов (команда –ps) создание интерактивного шелла будет выглядеть, например, как запуск менеджера очередей Postfix.

В случае с Linux такой спуфинг спокойно проходит; в Solaris нужный механизм отсутствует, поэтому для достижения искомого эффекта DecisiveArchitect использует переменную окружения LD_PRELOAD. По данным CrowdStrike, в апреле этого года хакеры обновили свои техники и тактики и стали таким же образом прятать своего зловреда на Linux-машинах (при загрузке импланта в легитимный процесс /sbin/agetty).

Обнаружить BPFDoor в Linux нелегко: для обеспечения постоянного доступа к системе авторы атаки модифицируют доступные скрипты SysVinit — внедряют ссылку на небольшой файл сценария, который, в свою очередь, указывает на имплант. Более того, они используют разные имена файлов и пути поиска для BPFDoor и связанных с ним скриптов.

В результате простой просмотр кодов SysVinit вряд ли поможет найти бэкдор, его можно выявить, только отыскав все умышленно созданные привязки — а они в зараженных системах неодинаковы. Эксперты советуют с этой целью использовать EDR со средствами машинного обучения и функциями мониторинга админ-утилит и процессов Linux.

В отсутствие такого решения можно с помощью команды lsof поискать процессы с отрытым сырым сокетом. В стандартных установках Solaris эта утилита отсутствует, поэтому придется использовать другие команды, позволяющие получить дополнительную информацию о запущенных процессах (см. блог-запись CrowdStrike).

Исследователи также обнаружили в атаках DecisiveArchitect два скрипта, заточенных под Windows. Их назначение пока неизвестно, хотя хакеры взаимодействуют с Windows-машинами — на начальных этапах атаки. Кастомных имплантов при этом не выявлено.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru