Компания Check Point объявила о выпуске Threat Emulation

Александр Панасенко 28 Февраля 2013 - 13:24

...

Новая разработка способна быстро и тщательно проверять подозрительные файлы, выполняя эмуляцию их поведения в системе, чтобы вовремя выявить потенциальную вредоносность и предотвратить проникновение нежелательных компонентов в сеть. Check Point Threat Emulation немедленно сообщает о вновь обнаруженных угрозах в онлайн-службу Check Point ThreatCloud и эта информация сразу же становится доступна другим клиентам.

Для того чтобы обойти защиту, киберпреступники прибегают к новым технологиям, а также постоянно видоизменяют уже использованные. Каждый день ими создается и распространяется по сетям в среднем от 70 до 100 тысяч новых образцов вредоносного ПО. В основе традиционных решений, применяемых для борьбы с угрозами, лежит метод обнаружения, то есть уведомления о вторжении в сеть появляются, когда оно уже произошло. Технология Check Point Threat Emulation идет дальше, блокируя новые угрозы и предотвращая заражение. Это позволяет избежать потерь времени и усилий, а также избавляет от множества других проблем, которые часто возникают на стадии лечения.

«Неизвестные ранее уязвимости и эксплойты нулевого дня являются главными направлениями атаки в сегодняшних сетевых средах, — говорит Дорит Дор (Dorit Dor), вице-президент по продуктам компании Check Point Software Technologies. — Это происходит в первую очередь потому, что через них можно легко обойти традиционные средства защиты от вредоносных программ. Организациям часто просто не под силу справиться с огромным потоком угроз. Наш новый программный блейд Threat Emulation не только выявляет вторжения, но и является первым решением, способным предотвратить заражение при начальном контакте. Клиенты получают возможность блокировать неизвестные до этого атаки, прежде чем они станут представлять угрозу безопасности или привычному ходу бизнеса.

Check Point Threat Emulation предотвращает атаки путем тщательной проверки загруженных из Интернета файлов и таких распространенных вложений в сообщения электронной почты, как файлы Adobe PDF и Microsoft Office. Подозрительные файлы открываются в «песочнице» Threat Emulation, и одновременно производится проверка, не инициируются ли при запуске файла какие либо нетиповые действия — например, нештатные изменения в системном реестре, сетевые подключения или системные процессы. Контроль ведется в реальном времени. Если выясняется, что файл имеет вредоносный характер, он блокируется на сетевом шлюзе. Его сигнатура сразу же направляется в онлайн-службу Check Point ThreatCloud и далее распространяется по шлюзам всех ее подписчиков, автоматически организуя защиту от только что обнаруженной угрозы.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Апреля 2026 - 20:28

Linux Бэкдоры Кибершпионаж Корпорации Symantec

Linux-бэкдор GoGra маскирует атаки под работу Outlook и Microsoft Graph

Исследователи обнаружили вариант бэкдора GoGra для Linux, который маскирует командный трафик под вполне легитимную активность Microsoft. Вместо привычной C2-инфраструктуры зловред использует почтовый ящик Outlook и Microsoft Graph API, чтобы незаметно получать команды и отправлять результаты их выполнения.

Эту кампанию связывают с группировкой Harvester, которая, по оценке Symantec, занимается кибершпионажем и активна как минимум с 2021 года.

По данным специалистов, новая Linux-версия GoGra была найдена в образцах, загруженных на VirusTotal. Исследователи считают, что первоначальное заражение начинается с того, что жертву убеждают запустить ELF-файл, замаскированный под PDF-документ.

После запуска дроппер на Go разворачивает полезную нагрузку, закрепляется в системе через systemd и XDG autostart, а для маскировки притворяется легитимным системным монитором Conky.

Главная хитрость GoGra — канал связи. Зловред использует встроенные Azure Active Directory credentials, получает OAuth2-токены и через Microsoft Graph API подключается к Outlook-почте.

Дальше он каждые две секунды проверяет директорию с названием «Zomato Pizza» и ищет письма, тема которых начинается со слова «Input». Содержимое таких писем закодировано в base64 и зашифровано по AES-CBC; после расшифровки команды выполняются локально на машине жертвы. Результат затем снова шифруется и отправляется оператору в ответном письме с темой «Output». Чтобы замести следы, зловред ещё и удаляет исходное письмо с командой через HTTP DELETE.

Исследователи отдельно подчёркивают, что Linux-вариант почти полностью повторяет Windows-версию GoGra. Совпадают не только архитектура и логика работы, но даже опечатки в строках и названиях функций, а также AES-ключ. Всё это указывает на одного и того же разработчика и усиливает привязку к Harvester.

Сам по себе приём с Microsoft Graph API тоже не новинка, но он остаётся очень удобным для шпионских операций. Трафик к Microsoft 365 и Outlook редко вызывает подозрения, а значит, вредоносная активность дольше растворяется в нормальном корпоративном фоне.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!