Лаборатория Касперского запатентовала технологию защиты от целевых атак

Лаборатория Касперского запатентовала технологию защиты от целевых атак

Лаборатория Касперского запатентовала технологию защиты от целевых атак

Компания «Лаборатория Касперского» запатентовала новую технологию защиты от целевых атак. Она основана на алгоритмах машинного обучения и автоматизирует обнаружение одного из самых эффективных и опасных киберпреступных инструментов — утилит для скрытного удаленного управления компьютером. При этом технология работает даже в тех случаях, когда преступники передают данные по зашифрованным каналам связи.

Утилиты для удаленного управления компьютером используются организаторами целевых атак, чтобы незаметно осуществлять вредоносную активность на устройствах жертв. После установки программа получает на компьютере администраторские права и дает злоумышленникам возможность искать на нем конфиденциальную информацию, которая затем передается на командный сервер. Такой сценарий особенно опасен для корпоративных сетей. Если несанкционированный доступ не удается вовремя обнаружить, ущерб может быть колоссальным.

Новая технология «Лаборатории Касперского» анализирует активность всех приложений на компьютере пользователя и выявляет случаи аномального поведения. Она обнаруживает все зависимости между событиями на устройстве. Сравнивая их с устоявшимися поведенческими шаблонами, технология принимает решение о детектировании удаленной атаки на компьютер. Затем устанавливается, какое именно приложение используется для удаленного администрирования. Опасность могут представлять как неизвестные утилиты, так и скомпрометированные доверенные программы или их отдельные компоненты.

«Обнаружение атак удаленного доступа, особенно если они происходят по зашифрованным каналам связи, критически важно для защиты от APT-угроз. Часто это одна из ранних стадий нападения: инструменты удаленного администрирования внедряются преступниками в сеть жертвы во время поиска и кражи ценной информации. Вот почему важно обнаруживать такую подозрительную активность в самом начале. Наша новая технология позволит специалистам по информационной безопасности предотвращать инциденты, даже если предыдущие уровни защиты по тем или иным причинам не сработали», — отметил Олег Глебов, руководитель направления развития решений по противодействию целенаправленным атакам «Лаборатории Касперского».

Новая технология станет доступна как компонент платформы Kaspersky Anti Targeted Attack Platform (KATA) в 2018 году. Решение KATA противостоит целевым атакам на всех этапах и способно как обнаружить уже начавшуюся атаку и минимизировать ущерб от нее, так и защитить предприятие от потенциальных угроз, оценив риски для безопасности в текущей инфраструктуре. KATA собирает информацию обо всех событиях в сети, находит аномалии при помощи передовых технологий и машинного обучения, объединяя информацию в инциденты и помогая реагировать на них из единого интерфейса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru