Zlock защитил Техносилу от утечек

Zlock защитил Техносилу от утечек

Компания SECURIT, первый российский разработчик IPC-решений, сообщает об успешном внедрении системы защиты от утечек информации Zlock в компанию «Техносила».

Специалистам «Техносилы» была поставлена задача исследования рынка средств контроля доступа к USB-устройствам и выбора наиболее подходящего решения. Необходимость централизованного контроля USB-, LPT-, COM-устройств и портов на рабочих станциях была продиктована интенсивным ростом компании и, как следствие, увеличением парка персональных компьютеров и мобильных накопителей. В итоге по совокупности характеристик для защиты от внутренних угроз был выбран Zlock.

Продукт Zlock компании SECURIT предназначен для защиты информации от утечек через периферийные устройства, локальные и сетевые принтеры. Zlock поддерживает контроль USB-устройств, жестких дисков, FDD-, CD-, DVD-дисководов, принтеров, Wi-Fi-, Bluetooth-, IrDA-контроллеров, портов LPT, COM и IEEE 1394, а также сетевых карт.

Zlock может осуществляться как через единую для IPC-решений SECURIT консоль, так и через групповые политики домена. Это даёт возможность унифицировать инструменты развертывания и управления Zlock с другим корпоративным ПО. Возможность гибкого разделения прав доступа к функциям консоли позволяет интегрировать Zlock в любую сложную систему управления информационной безопасностью. В системе Zlock предусмотрена возможность теневого копирования всех записываемых на носители файлов и распечатываемых на локальных и сетевых принтерах документов. Zlock позволяет вести архив действий сотрудников на рабочих местах, что существенно упрощает расследование подозрительных инцидентов или утечек конфиденциальной информации.

«Оглядываясь назад, мы понимаем, что не зря выбрали Zlock российской компании SECURIT четыре года назад фактически сразу после его выхода. В 2005 году нами двигало желание купить надежное решение для контроля USB-устройств, — рассказывает Леонид Тюкавкин, Вице-президент по стратегии компании «Техносила».Когда мы только узнали о Zlock, он находился лишь в бета-версии. Другие продукты на рынке либо совсем не подходили нам функционально, либо были лишены адекватной техподдержки. В такой ситуации мы решили сделать ставку на только что выпущенный Zlock и не прогадали».

«Техносила» была одной из первых крупных компаний, которые в 2005-м решили попробовать Zlock. Понятно, что в первой версии еще оставались недочеты и недоработки, поэтому мы благодарны специалистам «Техносилы» за терпение и конструктивные пожелания по улучшению Zlock, Александр Белявский, коммерческий директор SECURIT. — Четыре года назад мы поставили себе цель занять заметное место на рынке разработок для защиты от утечек информации. Сейчас мы можем сказать, что перевыполнили этот план и являемся лидирующей компанией-разработчиком систем защиты от внутренних угроз».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru