PT объявила о выходе новой версии PT Application Firewall 3.4

PT объявила о выходе новой версии PT Application Firewall 3.4

PT объявила о выходе новой версии PT Application Firewall 3.4

Среди ключевых изменений версии 3.4 — поддержка наиболее популярной платформы виртуализации VMware vSphere, усовершенствованные механизмы выявления вредоносных ботов (простых и продвинутых), визуализации и формирование отчетов по расписанию.

Безопасность VMware

В 2016 году исследовательский центр Positive Technologies обнаружил ряд критически опасных недостатков в специализированном веб-клиенте, предназначенном для администрирования VMware vSphere. Новая редакция PT Application Firewall блокирует атаки с использованием обнаруженных уязвимостей (сейчас они устраняются специалистами компании-производителя) и защищает от других брешей в защите, уже опубликованных на официальном сайте VMware.

«Получив привилегии администратора в незащищенной версии веб-клиента VMware vCenter Server, нарушитель может захватить контроль над всей виртуальной средой предприятия, — рассказывает Арсений Реутов, руководитель группы исследований в сфере защиты приложений Positive Technologies. — Для перехвата доступа к виртуальным машинам достаточно выполнить межсайтовый скриптинг, с помощью социальной инженерии заманив администратора веб-клиента на вредоносную веб-страницу и перехватив идентификаторы сессии. Из корпоративной сети веб-клиент может быть атакован при эксплуатации таких серверных уязвимостей, как XXE (атака на приложения с небезопасно настроенным XML-парсером)».

Возможности PT Application Firewall 3.4 особенно важны для компаний, использующих версии веб-клиента на базе технологий Flash и AMF. Профиль безопасности для VMware будет поддерживаться в актуальном состоянии и автоматически обновляться исследовательским центром Positive Technologies.

«Новая версия PT Application Firewall точнее выявляет угрозы в отношении веб-приложений и стала удобнее для пользователей, — отмечает Олег Матыков, руководитель направления развития продуктов для защиты приложений и промышленных сетей. — Например, функция "удаленный помощник" позволяет запрашивать помощь в службе технической поддержки Positive Technologies при настройке или решении других вопросов. Интеграция со шлюзами безопасности Check Point дает возможность передать информацию о нарушителе с PT Application Firewall на межсетевой экран Check Point и заблокировать атакующему доступ ко всем ресурсам сети. Начиная с версии 3.4 продукт поддерживает автоматические обновления и установку специальных расширений, включая профили безопасности SAP и VMware».

Оружие против ботов

С помощью вредоносных программ-ботов злоумышленники могут автоматизировать поиск уязвимостей на сайтах организации или копировать содержимое веб-ресурсов. Новая версия PT Application Firewall позволяет обнаружить и заблокировать практически все известные инструменты сканирования и копирования контента сайтов.

«Простые боты не исполняют JavaScript-код, не двигают мышью при переходе между страницами и не выполняют запросы в браузере так, как это делают пользователи. Это и позволяет их обнаружить и нейтрализовать, — поясняет Дмитрий Нагибин, руководитель группы разработки средств защиты приложений Positive Technologies. — Для более продвинутых ботов, которые эмулируют действия человека в браузере, в PT Application Firewall добавлены механизмы проверки, анализирующие поведение мыши. Например, если для нажатия на ссылку мышь не перемещается (и при этом используется не мобильное устройство), межсетевой экран прикладного уровня сочтет и активность, и пользователя подозрительными».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru