Евгений Касперский: По части эмуляции и анализа мы впереди планеты всей

Евгений Касперский: По части эмуляции и анализа мы впереди планеты всей

Евгений Касперский: По части эмуляции и анализа мы впереди планеты всей

Евгений Касперский в своём блоге углубился в анализ методов детектирования вредоносных программ. В частности, основатель и бессменный лидер «Лаборатории Касперского» особо выделил способ эмуляции, который, по его мнению, реализован у Kaspersky максимально эффективно.

Проведя аналогию с одной из сцен фильма «Миссия невыполнима», Евгений Валентинович объяснил: эмулятор запускает анализируемый объект в изолированной среде, чтобы тот проявил свои вредоносные функции.

Однако у такого подхода есть один минус — это искусственная изолированная среда, хоть эмулятор и делает все возможное, чтобы приблизить ее к реальной операционной системе.

«С другой стороны, есть ещё один способ отследить поведение объекта — виртуальная машина. Почему нет? Виртуализация знакома всем с 1992 года, почему же никому не пришло это в голову?», — пишет Касперский.

Оказалось, что и здесь есть свои проблемы. Во-первых, анализ объектов в виртуальной машине — ресурсоемкий процесс. Это больше подойдёт решениям, ориентированным на корпоративный сектор. Для домашних компьютеров, а тем более для смартфонов такая технология не годится.

А во-вторых, отмечает Касперский, «Лаборатория Касперского» уже использует такую технологию для внутренних расследований.

«В настоящее время на рынке таких продуктов можно пересчитать по пальцам. Наши конкуренты выпустили похожие решения, но их эффективность оставляет желать лучшего. Как правило, такие продукты ограничены лишь сбором логов и базовым анализом», — продолжает основатель антивирусной компании.

«Здесь я могу без ложной скромности сказать, что мы впереди планеты всей».

К слову, недавно «Лаборатория Касперского» получила в США патент (US10339301) за создание подходящей среды для виртуальной машины, которая может осуществлять глубокий и быстрый анализ подозрительных объектов.

По словам Касперского, скоро эта технология будет добавлена в KATA, а также выйдет на рынок в качестве отдельного решения для предприятий — Kaspersky Sandbox.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Приобретенная хакерами EDR выдала все секреты их кухни

Роковая ошибка злоумышленников позволила вендору защитных решений получить представление об их ежедневных операциях — о поиске мишеней, подготовке фишинговых рассылок, использовании инструментов атаки.

Заглянуть за кулисы хакерской жизни Huntress удалось благодаря алертам ее EDR о подозрительной активности на одном из подопечных хостов. Как оказалось, уникальное имя компьютера уже засветилось в связи с несколькими киберинцидентами.

В ходе анализа данных телеметрии, проведенного командой SOC, выяснилось, что их EDR-агент злоумышленники установили в ходе поиска в Google подходящего СЗИ от Bitdefender: они попросту перешли по ссылке в рекламе аналога, предложенного для пробы.

Найденные артефакты также показали, что на машине запущен еще один защитный продукт — от Malwarebytes. Его могли использовать по прямому назначению либо с целью тестирования вредоносного кода.

Изучение истории браузера окончательно подтвердило, что хост является частью инфраструктуры, созданной для проведения атак. За неполных три месяца наблюдений его владельцы заходили на сайты различных компаний и выявляли их партнерские связи через веб-сервисы ReadyContacts, InfoClutch и BuiltWith.

Кроме того, они проводили через Censys поиск активных экземпляров Evilginx (инструмент с открытым кодом, зачастую используемый для проведения AitM-атак) и пытались получить доступ к таким серверам.

В рамках разведки в целевых сетях применялись инструменты сбора и анализа данных — Bloodhound, GraphSpy, TeamFiltration. Походящие цели злоумышленники выискивали в Telegram, используя его боты; персонализированные письма им сочиняли ИИ-ассистенты, а перевод текстов осуществлялся с помощью Google Translate.

Чтобы скрыть вредоносную активность, оформлялись подписки на частные прокси (зафиксированы заходы на страницы расценок LunaProxy и Nstbrowser). Вредоносные коды и ссылки тестились на VirusTotal и urlscan.

 

Судя по IP-адресу и часовому поясу в настройках, хакерский хост находится на западном побережье США. География интересов его владельцев при этом зачастую выходит за пределы страны, а мишенями в основном служат банки, криптобиржи, госструктуры, риелторские и ИТ-компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru