Белорусский ИТ-гигант IBA выбирает eSafe Mail

Белорусский ИТ-гигант IBA выбирает eSafe Mail

Ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений по информационной безопасности компания Aladdin сообщает об успешном внедрении системы eSafe Mail в рамках проекта по обеспечению защиты корпоративной почты от нежелательной корреспонденции и вредоносного кода, поступающего через почтовые каналы связи, в белорусских компаниях IBA Group: IBA-Минск, IBA-Гомель, IBA IS и НИИЭВМсервис.

Сегодня IBA – это международный холдинг, один из крупнейших системных интеграторов, разработчиков, производителей и поставщиков современных информационных технологий в Центральной и Восточной Европе. Специализируясь на реализации масштабных комплексных проектов в ИТ-сфере, компания использует как собственные разработки, так и инновационные решения от мировых вендоров.

IBA планомерно развивается и стабильно растет. С ростом компании все более актуальными становятся вопросы, связанные с информационной безопасностью. В IBA идет постоянный процесс модернизации и увеличения единиц компьютерной техники с акцентом на обеспечение защиты корпоративных ресурсов. Учитывая устойчивый рост угрозы проникновения нежелательной информации и вредоносных программ через активное использование сети Интернет и Web-сервисы компании, в частности, электронной почты, руководство IBA приняло решение усилить защиту корпоративного почтового сервера. Специалисты IBA протестировали ряд продуктов и решений, предлагаемых российскими и зарубежными вендорами для защиты от нежелательной корреспонденции. Среди основных критериев отбора поставщика готового решения были гибкость настроек, масштабируемость, обучаемость системы, управляемость и, самое важное, - качество детектирования спама при минимальном количестве ложных срабатываний.

По результатам тестов был выбран высокотехнологичный комплекс Aladdin eSafe Mail Pack, реализующий тщательный анализ всего объема поступающей корпоративной корреспонденции по протоколу SMTP, исходя из контента письма и источника рассылки. Фильтрация каждого полученного письма реализуется двумя взаимодополняющими программными модулями на 4-х уровнях: проверка подлинности (репутация отправителя, схема распределения писем, наличие адреса в существующих списках), структура письма (эвристический анализ, проверка на наличие кода, способного эксплуатировать уязвимости, сверка с RFC), контент письма (является ли оно спамом, элементом фишинг-атаки, содержит ли подозрительные элементы и запрещенные ссылки), анализ файла (проверка на возможность реконфигурации, сигнатурный анализ, наличие подозрительных элементов в коде).

«Двойная» технология проверки поступающей почты, реализованная в eSafe Mail, одинаково эффективна для защиты от любых массовых спам- и фишинг-рассылок, «зараженных писем», независимо от языка и формата сообщения. Максимально усиленный новыми репутационными механизмами, комплекс eSafe Mail обеспечивает защиту почты в реальном времени, с момента начала эпидемии (вирусной, спама, и т.д.), обеспечивая полностью автоматическое детектирование почты с 97-99% точностью выявления нежелательной корреспонденции.

Кроме того, eSafe Mail включает инновационные методы борьбы со спамом, среди которых Spam Phishing, Spam Fingerprint, Spam Fuzzy Fingerprint. Эти технологии нового поколения позволяют безошибочно выявлять фишинг-письма, определять спам-вложение (или внедренное изображение), а также обнаруживать внесенные модификации во вложенные изображения (например, изменение небольших фрагментов кода и т. д.).

В рамках проекта была проведена интеграция eSafe Mail с корпоративной информационной системой на платформе IBM Lotus Notes/Domino. В течение полутора месяцев eSafe Mail функционировал в пилотном режиме. После анализа специалистами IBA полученных результатов комплекс был внедрен в инфраструктуру компании в полном объеме.

«Такая важная составляющая бизнеса как модернизация и поддержка инфраструктуры всегда требует детального анализа и тщательного выбора продуктов и решений, особенно если речь идёт о безопасности и защите информационных ресурсов, - комментирует Леонид Бокун, директор по информационному обеспечению компании IBA. - Мы остановили свой выбор на комплексной системе защиты от спама eSafe Mail Pack. Благодаря инновационным технологиям, мощному функционалу и производительности данной системы мы фактически забыли о том, что такое спам».

«IBA в Центральной и Восточной Европе – это имя, и мы гордимся тем, что такая крупная компания выбрала Aladdin eSafe Mail Pack для защиты корпоративных почтовых ресурсов от нежелательной корреспонденции и вредоносного программного обеспечения, которое всё сложнее детектировать классическими антиспам системами, - говорит Владимир Бычек, руководитель направления Content Security компании Aladdin. – Кроме того, хотелось бы отдать должное высокой квалификации специалистов компании IBA: внедрение eSafe Mail Pack они практически полностью реализовали самостоятельно на высоком профессиональном уровне».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru