R-Vision оснастила свою платформу функционалом Threat Intelligence

R-Vision оснастила свою платформу функционалом Threat Intelligence

Компания R-Vision, российский разработчик решений для автоматизации управления информационной безопасностью и реагирования на инциденты, объявила о расширении возможностей решения R-Vision Incident Response Platform функционалом класса Threat Intelligence Platform. Теперь платформа R-Vision может в автоматическом режиме собирать и обрабатывать данные киберразведки, использовать их в алгоритмах реагирования и передавать напрямую на средства защиты. Это облегчает выявление скрытой активности хакеров и повышает скорость реагирования, сводя к минимуму возможный ущерб.

Новинка будет представлена на международном форуме по практической безопасности Positive Hack Days 8, который проходит 15 и 16 мая в Москве. 

«Использование данных киберразведки является одним из важнейших элементов в работе современных центров мониторинга инцидентов. Благодаря созданию нового продукта, мы даем нашим клиентам возможность построить эффективную работу с индикаторами компрометации и задействовать киберразведку в процессах реагирования на инциденты», - прокомментировал анонс Александр Бондаренко, генеральный директор R-Vision.

Технология threat intelligence позволяет обнаружить вредоносную активность киберпреступников по определенным признакам, называемым индикаторами компрометации. Интеграция этих данных в процесс реагирования на инциденты позволяет быстрее установить компрометацию и оперативно блокировать угрозу. Однако без автоматизированного решения качественная обработка и аналитика огромного массива данных об угрозах практически невозможна.

Threat Intelligence Platform от R-Vision позволяет осуществлять в автоматическом режиме централизованный сбор, обработку и обогащение индикаторов компрометации, собираемых из фидов threat intelligence от различных поставщиков. Система обладает встроенной интеграцией с площадками обмена данными об угрозах IBM X-Force Exchange и AlienVault Open Threat Exchange, с threat intelligence сервисами от Group-IB и Лаборатории Касперского и позволяет подключить другие коммерческие и публичные источники.

Новый функционал позволяет не только загружать сведения из определенных фидов, но и осуществлять кросс-проверку данных по отдельным индикаторам с помощью дополнительных запросов во внешних источниках. Обработанные данные можно напрямую передать на используемые средства защиты, что позволяет снизить количество ложных срабатываний, которые возникают при использовании сырых данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инъекция кода в процессы по методу Pool Party обманет любую EDR-систему

Эксперты SafeBreach разработали метод внедрения кода в память процессов, использующий пулы потоков Windows для сокрытия его исполнения. Тестирование показало, что атаку Pool Party не способны выявить даже лидеры рынка EDR-решений.

Инъекция кода в процессы позволяет злоумышленникам обойти антивирусы: такие заражения не оставляют в системе следов в виде файлов, которые можно было бы проанализировать. В последние годы многие вендоры ОС и EDR усилили защиту от подобных атак за счет блокировки известных техник либо жесткого ограничения последствий.

Чтобы понять, каким образом бестелесный зловред сможет обойти EDR, исследователям пришлось изучить современный подход к детектированию таких угроз ИБ-продуктами этого класса. Как оказалось, они производят оценку по примитиву выполнения — лишь одному элементарному действию из трех, необходимых для инъекции в процесс (еще выделение блока памяти и запись туда кода).

 

Это открытие подсказало экспертам, как скрыть бесфайлового зловреда от EDR: создать примитив выполнения, основанный лишь на allocate и write, а в качестве триггера шелл-кода использовать легитимное действие — например, запись в безобидный файл.

Прекрасным кандидатом для такого трюка оказался пул потоков режима пользователя в Windows, а точнее, четыре компонента: фабрика рабочих ролей, управляющая рабочими потоками, и три очереди.

По результатам исследования были созданы восемь разных техник инъекции кода; одна использует подпрограмму запуска фабрики ролей, другая — очередь задач, еще пять — очередь завершения ввода-вывода, а восьмая — очередь таймера. Поскольку пул потоков совместно используется процессами Windows, метод Pool Party работает на любом из них.

Для тестирования были выбраны пять EDR-решений:

  • Palo Alto Cortex,
  • SentinelOne EDR,
  • CrowdStrike Falcon,
  • Microsoft Defender for Endpoint,
  • Cybereason EDR.

Во всех случаях эффективность Pool Party (всех восьми вариантов) составила 100%, то есть ни один защитный продукт не смог обнаружить или предотвратить инъекцию. Вендоры уже поставлены в известность.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru