Одна «лицензия» на всю защиту от Symantec

В России стартовали продажи специального комплексного продукта для малого бизнеса от компании Symantec — Symantec Protection Suite Small Business Edition. Продукт представляет собой легкий в использовании универсальный комплекс ПО для защиты критически важных для бизнеса ресурсов и информации. Использование универсального решения от Symantec позволяет не только защищать, но и при необходимости быстро восстанавливать данные и компьютерные системы, пострадавшие от современных угроз, говорится в сообщении компании.

В основе нового решения лежат различные технологии: защита от сетевых угроз — брандмауэр файрвол на основе правил и система защиты от уязвимостей Generic Exploit Blocking (GEB) на основе технологий Sygate; технология защиты от спама на основе технологий Brightmail — отсеивает, по данным разработчиков, около 97% спам-сообщений при минимальном уровне ложных срабатываний; превентивная защита от угроз — защита от неизвестных угроз (атак нулевого дня) — технологии Symantec TruScan Proactive Threat Scan, которая не использует сигнатуры, на основе технологий Whole Security; защита от вирусов и программ-шпионов — Symantec Endpoint Protection Small Business Edition; резервное копирование и восстановление — Symantec Backup Exec System Recovery Desktop Edition на основе технологий PowerQuest.

«Symantec Protection Suite Small Business Edition направлено на решение нескольких задач, часть из которых достаточно нова для классического понятия информационной безопасности. Функции комплексной защиты рабочих станций и серверов, включающей антивирусную защиту, поведенческий анализ, контроль сетевого трафика, а также контроль и управление устройствами и приложениями расширяются за счет модуля резервного копирования рабочих ПК и ноутбуков. Такой подход к безопасности позволяет быть уверенными, что при возникновении любой опасности или атаки, включая возможное вирусное заражение, всю офисную систему и отдельные рабочие станции всегда можно быстро и просто восстановить», — отметил руководитель группы консультантов по безопасности компании Symantec Кирилл Керценбаум.

По его словам, Symantec Protection Suite Small Business Edition ориентирован как на квалифицированных пользователей, так и на начинающих специалистов. «Продукты, составляющие комплекс, содержат максимум автоматических процедур, но при этом позволяют производить любые операции, как в ручном, так и в автоматическом режиме», — пояснил Керценбаум. Так, один агент и одна консоль управления — Symantec Endpoint Protection Small Business Edition объединяет защиту от вирусов и программ-шпионов, файрвол рабочей станции и систему предотвращения вторжений (IPS) в одном агенте, который управляется посредством одной консоли управления.

«С новым продуктом для малого бизнеса мы выходим в очень удачное время. Рынок готов к появлению подобных продуктов, малый бизнес осознает потребность в комплексной защите информационной среды предприятия», — убеждён Кирилл Керценбаум. По его словам, стоимость версии для малого бизнеса составляет от 1600 руб. за один ПК и ниже.

Источник 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Ботнет KashmirBlack атакует сайты через бреши в CMS

Относительно новый ботнет KashmirBlack взламывает сайты, используя брутфорс и непропатченные уязвимости в популярных CMS-системах, их темах и плагинах. В состав вредоносной сети, по оценкам экспертов, входят десятки тысяч зараженных серверов, расположенных в разных странах и способных суммарно проводить миллионы атак в сутки. В настоящее время KashmirBlack используется для майнинга криптовалюты, перенаправления трафика на площадки мошенников, а также для дальнейшего распространения инфекции.

По данным Imperva, данный ботнет объявился в интернете в ноябре 2019 года и до сих пор активен. Он способен проводить атаки на сайты WordPress, Drupal, Magneto, Joomla, vBulletin, PrestaShop, OSCommerence, OpenCart и Yeager. Заражения обнаружены более чем в 30 странах — в основном в США. Информация, собранная экспертами с помощью ловушек за пять месяцев (с января по май), также дала понять, что KashmirBlack обладает обширной и сложной С2-инфраструктурой, позволяющей операторам быстро заменять отдельные компоненты и перепрофилировать ботнет, не прерывая текущих операций.

 

В качестве центра управления ботоводы долгое время использовали взломанный сайт в Индонезии; месяц назад они с этой целью откочевали на Dropbox. Инструменты атаки, раздаваемые ботам, злоумышленники хранят на десятках взломанных серверов, которые разделены на две группы: «репозиторий A» с балансировкой нагрузки и «репозиторий B». Первая охватывает около десятка серверов, отдающих Python-скрипт для коммуникаций с C&C. Во вторую группу по состоянию на май входило 74 взломанных сайта, размещенных на 53 различных хостах; эти хранилища используются для раздачи наборов эксплойтов и полезной нагрузки (Perl-скрипта и бэкдоров).

В отдельном репозитории на GitHub операторы ботнета какое-то время хранили криптомайнер XMRig и скрипты PHP, позволяющие выполнять шелл-команды на сервере в ходе атаки. В мае этот GitHub-аккаунт был закрыт. Веб-сервис Pastebin злоумышленники используют как средство анонимного обмена статистикой по заражениям.

Примечательно, что по статусу боты KashmirBlack неодинаковы. Так называемый spreading-бот (взломанный сервер с набором вредоносных скриптов) постоянно поддерживает связь с центром управления в ожидании команды на проведение атак и списка мишеней. Согласно наблюдениям, каждый spreading-бот ежедневно атакует в среднем 240 хостов (3450 сайтов). Вторая разновидность — pending-бот — представляет собой забэкдоренный сайт, который злоумышленники могут в дальнейшем использовать для добычи криптовалюты или превратить в редиректор, репозиторий либо spreading-бот.

В настоящее время в арсенале KashmirBlack числится более двух десятков эксплойтов, которые позволяют получить следующие результаты:

  • создание нового spreading-бота (CVE-2017-9841, баг удаленного исполнения кода во фреймворке PHPUnit);
  • создание нового pending-бота (различные эксплойты для CMS, тем и плагинов; полный список приведен в блог-записи Imperva);
  • дефейс сайта (эксплойт для WebDAV-сервера, обеспечивающий беспрепятственную загрузку произвольных файлов).

Анализ сайтов, подвергнутых дефейсу с помощью KashmirBlack, выявил возможную связь ботоводов с индонезийской группой хакеров PhantomGhost.

В случае заражения (см. список индикаторов в блоге Imperva) эксперты советуют принять следующие меры:

  • принудительно завершить ассоциируемые с KashmirBlack процессы;
  • удалить вредоносные файлы;
  • удалить подозрительные cron-задачи;
  • удалить неиспользуемые темы и плагины.

В качестве мер профилактики администраторам сайтов рекомендуется усилить парольную защиту, своевременно обновлять компоненты CMS и сторонние модули, ограничить доступ к важным файлам (install.php, wp-config.php, eval-stdin.php), а также установить файрвол для веб-приложений.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru