WatchGuard блокирует 99% угроз

WatchGuard блокирует 99% угроз

В конце февраля в Сиэтле независимой лабораторией Miercom были протестированы устройства производителей WatchGuard , Juniper, Fortinet и SonicWall c целью выявить решение, обеспечивающее наивысший уровень защиты. В лабораторных условиях был создан тестовый трафик из сочетания HTTP, FTP и SMTP потоков, максимально приближенный к условиям типичной сети.

В испытании на определение уровня надежности были смоделированы различные атаки, включающие в себя известные угрозы, их мутации и еще не известные и даже специально созданные для теста вирусы. UTM-устройство WatchGuard обнаружило и заблокировало 100% неизвестных, пока не имеющих сигнатур вирусов, 99,9% мутаций известных вирусов и 98,1% известных угроз.

"Устройство WatchGuard Firebox обеспечивает всестороннюю безопасность сети, которая способна блокировать даже нестандартные угрозы, и по сравнению с конкурентными продуктами, на голову выше в вопросе эффективного обнаружения уязвимостей", - сказал Robert Smithers, генеральный директор Miercom.

Кроме надежности и безопасности важной характеристикой UTM-устройства является пропускная способность. В этом аспекте Firebox тоже показал удивительную работоспособность.

Он может поддерживать до 8 000 пользователей и 6 200 сессий в секунду (до 1 миллиона параллельных сессий). В отличие от производителей подобного оборудования, которые заявляют о производительности, исходя из идеальных условий, устройства Firebox X Peak 8500 показали соответствие заявленной пропускной способности 2 Gbps в реальных условиях.

Использование технологии прокси-фильтрации в устройствах WatchGuard обеспечивает непревзойденный уровень безопасности, поскольку весь неразрешенный к прохождению трафик блокируется по умолчанию. Эта технология позволяет защитить сеть от новых, даже еще не изученных видов атак, так как трафик, несоответствующий общепринятым стандартам, отсекается до попадания в локальную сеть.

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru