Новая версия StaffCop Enterprise теперь поддерживает Linux-системы

Новая версия StaffCop Enterprise теперь поддерживает Linux-системы

Новая версия StaffCop Enterprise теперь поддерживает Linux-системы

Компания «Атом Безопасность» объявила о выходе StaffCop для Linux-систем — новой версии информационно-аналитической системы для контроля действий сотрудников, потоков информации и системных событий, совместимой с операционными системами Linux. Агент решает задачу сбора данных о действиях пользователей в информационной системе и запущенных программах. Решение работает на современных дистрибутивах, включая Ubuntu, Red Hat, Arch Linux и Astra Linux.

Программа импортозамещения в ИТ-сфере диктует новые условия ведения бизнеса. Отечественные разработчики принимают активное участие в развитии решений на базе свободно распространяемых и открытых технологий. Снижение зависимости от зарубежных разработчиков и защита бизнеса от влияния политический решений должны быть подкреплены уверенностью в безопасности ИТ-систем. Данная задача ложится на плечи специалистов по безопасности, которым нужно отслеживать нарушения политик, угрозы утечки данных и сбои системы при помощи специального программного обеспечения.

Решение StaffCop Enterprise включено в единый реестр российских программ Минсвязи РФ за №3337. Проходит сертификацию ФСТЭК на отсутствие НДВ по 4 уровню контроля и соответствию НПА по съемным машинным носителям информации по 4 классу защиты. 

Новая версия StaffCop для Linux-систем может работать под любой операционной системой на базе Linux. Аналитическая система решает проблему сбора данных о действиях пользователя в системе и запущенных программах. В инструментарий Linux-агента входят кейлогер графической системы X11 и регистратор bash-команд консольной сессии. Реализована функция регистрации входа в систему и съемки скриншотов с экрана пользователя. Функционал также пополнился возможностью перехвата печати и записи звука с микрофона компьютера, а также учета файловых операций, в том числе на внешних дисках.

Администратор системы может отслеживать время работы пользователя в приложениях и подключения USB-устройств.

«Российские компании все чаще стали использовать Linux-системы. Эта тенденция обусловлена не только требованиями регулирующих органов в рамках программы импортозамещения, но и логичной экономией средств на ИТ. Модуль мониторинга StaffCop работает как в Windows среде, так в Linux-системах, в том числе на операционной системе специального назначения Astra Linux. Мы постоянно развиваем наше решение, расширяем функционал, собираем и реализуем пожелания клиентов относительно продукта и его поддержки», — говорит генеральный директор компании «Атом Безопасность» Дмитрий Кандыбович.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android-троян GhostGrab уличен в клептомании и крипомайнинге

Проведенный в CYFIRMA анализ Android-зловреда GhostGrab показал, что это гибридная угроза. Новый модульный троян крадет ключи от банковских счетов и вдобавок использует ресурсы жертвы для добычи монеро.

Новобранец очень цепок, всегда работает в фоне и умело уклоняется от обнаружения и системных попыток прибить его процессы. Для получения команд и отправки украденного он обращается к Firebase.

Атака начинается с JavaScript-редиректа на сайте kychelp[.]live (домен был зарегистрирован в начале лета). При перенаправлении браузера автоматом происходит загрузка дроппера, замаскированного как BOM FIXED DEPOSIT.apk (результат VirusTotal на 28 октября — 26/61).

В поддержку иллюзии при установке жертве выводится интерфейс обновления, копирующий стиль Google Play. Успешно внедрившись, вредонос запрашивает разрешение на установку приложений из сторонних источников (REQUEST_INSTALL_PACKAGES) для беспрепятственного развертывания модуля банковского стилера.

Чтобы обеспечить себе постоянное присутствие в системе, дроппер выводит на экран уведомление и закрепляет его, инициируя запуск службы переднего плана.

 

Банковский модуль GhostGrab (детектируют 10 антивирусов из 66 на VirusTotal) вначале выполняет профилирование зараженного устройства, в частности, выясняет номер телефона и имя провайдера связи.

Он также запрашивает множество разрешений, в том числе доступ к СМС (для перехвата одноразовых кодов и уведомлений банков) и телефонной связи (для перевода звонков своему оператору и выполнения USSD-команд).

Чтобы беспрепятственно работать в фоне, зловред просится в список исключений по энергосбережению, скрывает свою иконку и использует механизмы автоматического перезапуска по системным событиям (перезагрузка ОС, изменение состояния экрана, возможность установления соединений).

 

Банкер также умеет выуживать интересующую его информацию с помощью фишинговых страниц. Заготовки вшиты в код и поочередно отображаются через WebView.

Вначале у жертвы запрашивают полное имя, уникальный идентификатор карты, номер счета — якобы для завершения процедуры KYC. После ввода ее попросят предоставить все данные дебетовой карты или учетки для доступа к системе ДБО.

Мониторинг заполнения фальшивых форм и вывод содержимого осуществляются с помощью JavaScript-сценария. Украденная информация направляется прямиком в Firebase и, как оказалось, хранится там в незашифрованном виде в общедоступной базе данных.

Для управления резидентным зловредом используются возможности Firebase Cloud Messaging: команды подаются в виде пуш-уведомлений.

Когда устройство жертвы заблокировано, GhostGrab может загрузить со стороннего сервера зашифрованный криптомайнер (libmine-arm64.so). Этот модуль тоже работает в фоне, используя монеро-кошелек, адрес которого жестко прописан в коде дроппера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru