«Лаборатория Касперского» сообщает о патентовании в США передовой технологии борьбы с неизвестными угрозами

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об успешном патентовании в США передовой технологии в области информационной безопасности. Технология позволяет детектировать и удалять все, в том числе ранее неизвестные вредоносные программы, установленные на компьютер пользователя в результате одного и того же вирусного инцидента.

Современные вредоносные программы широко используют метод проникновения на компьютеры пользователей с помощью троянских технологий. Загрузившись и установившись в систему, такой троянец скачивает из интернета множество других вредоносных программ. Таким образом на компьютере пользователя могут оказаться десятки различных вредоносных кодов и их компонентов.

Часть из них могут оказаться новыми вредоносными программами с ещё не занесёнными в антивирусные базы сигнатурами, либо неизвестными технологиями обхода детектирования. Поэтому такое вредоносное ПО не обнаруживается антивирусными средствами сразу же после заражения компьютера и может оставаться в системе ещё некоторое время, проявляя свой деструктивный функционал.

Такая неполнота антивирусной защиты делает особо актуальной задачу детектирования и удаления всех вредоносных программ и их компонентов, загруженных и установленных на компьютер пользователя в результате вирусного инцидента. Решить её можно используя новейшую технологию «Лаборатории Касперского», разработанную Михаилом Павлющиком.

Патент на данную технологию зарегистрирован под номером 7 472 420 Патентным бюро США 30 декабря 2008 года. Описанные в патенте метод и его реализация позволяют при обнаружении только одного вредоносного компонента детектировать и удалять все вредоносные программы, появившиеся в вычислительной системе в рамках одного и того же вирусного инцидента, а также устанавливать источник инцидента и время его возникновения.

Новая технология основана на протоколировании системных событий, указывающих на возможность вирусного заражения (таких как изменение исполняемых файлов и/или запись в системном регистре), и последующем определении рамок вирусного инцидента по сделанным записям. Согласно запатентованной технологии, при обнаружении вредоносного процесса или файла запускается анализатор предшествующих событий, что позволяет определять источник и время заражения. Затем система анализирует все дочерние события, порождённые найденным источником, что дает возможность детектировать все участвовавшие в инциденте вредоносные программы, в том числе ранее неизвестные.

Кроме детектирования, новая технология обеспечивает удаление зловредных кодов или постановку их на карантин, прерывание вредоносных процессов, восстановление доверенных копий системных файлов из резервного хранилища. Информация о вредоносных программах, обнаруженных с помощью новейшего запатентованного метода, может быть мгновенно отправлена антивирусным вендорам в целях ускорения их ответа на новые угрозы.

Определение источника и условий заражения полезно для предотвращения подобных вирусных инцидентов в будущем, например, для выявления и блокирования инфицированных сайтов, обнаружения и закрытия уязвимостей программного обеспечения и т.д. Кроме того, восстановление полной картины вирусного инцидента, её документирование могут стать основой для успешного криминалистического анализа и доказательства вины киберпреступника.

В настоящее время патентные организации США и России рассматривают более трех десятков патентных заявок «Лаборатории Касперского», описывающих уникальные инновационные технологии в области информационной безопасности.

Технологии «Лаборатории Касперского» используются ведущими IT-компаниями мира, в том числе Microsoft, Bluecoat, Juniper Networks, Clearswift, Borderware, Checkpoint, Sonicwall, Websense, LanDesk, Alt-N, ZyXEL, ASUS и D-Link.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В контроллерах Rockwell выявлена 10-балльная уязвимость

В двух десятках ПЛК производства Rockwell Automation выявлена возможность обхода аутентификации, позволяющая получить удаленный доступ к устройству и изменить его настройки и/или код приложения. Степень опасности уязвимости оценена в 10 баллов из 10 возможных по шкале CVSS.

Уязвимость, зарегистрированную под идентификатором CVE-2021-22681, параллельно обнаружили исследователи из Сычуаньского университета (КНР), «Лаборатории Касперского» и ИБ-компании Claroty. В появлении опасной проблемы повинен Studio 5000 Logix Designer (ранее RSLogix 5000) — популярный программный продукт, обеспечивающий единую среду разработки для ПЛК.

Корнем зла в данном случае является слабая защита секретного критоключа, который Studio 5000 Logix Designer использует для подтверждения полномочий рабочей станции на связь с контроллерами. В итоге открылась возможность получить доступ к ПЛК в обход аутентификации, чтобы загрузить на устройство сторонний код, скачать информацию или подменить прошивку.

Уязвимость актуальна для ПЛК линеек CompactLogix, ControlLogix, DriveLogix, Compact GuardLogix, GuardLogix и SoftLogix. Эксплуатация CVE-2021-22681, по свидетельству экспертов, тривиальна.

Чтобы снизить риски, Rockwell советует включить на контроллерах режим RUN,  предельно обновить их прошивки и заменить CIP на соединениях Logix Designer протоколом CIP Security, стандартизированным ODVA. Не стоит пренебрегать также обычными мерами безопасности, такими как сегментация сети, ограничение доступа к средствам управления, строгая изоляция и надежная защита АСУ ТП.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru