Вышел UserGate Log Analyzer, развёртывается отдельно от шлюза UserGate

Екатерина Быстрова 14 Мая 2020 - 20:49

Системы мониторинга событий безопасности

...

Вышел UserGate Log Analyzer, развёртывается отдельно от шлюза UserGate

Компания UserGate официально анонсирует выпуск UserGate Log Analyzer (UserGate LogAn). Продукт дополняет функциональность серверного решения UserGate и предназначен для агрегации данных, связанных с анализом инцидентов безопасности, а также для осуществления мониторинга событий и создания отчетов. UserGate Log Analyzer развертывается отдельно от шлюза безопасности UserGate, что позволяет обеспечивать высокую надежность и хорошую масштабируемость системы и агрегировать данные с нескольких серверов.

Использование отдельного сервера для анализа данных снижает нагрузку на межсетевые экраны и позволяет обрабатывать больший объем данных. Также продукт умеет собирать информацию со сторонних систем, поддерживающих работу по протоколу SNMP v2 и v3. UserGate Log Analyzer совместим UserGate 5.0.6R7.

На основании полученных данных решение UserGate Log Analyzer осуществляет глубокий анализ произошедших событий безопасности, определяет и отслеживает подозрительные активности отдельных пользователей или хостов, что в том числе необходимо для соответствия современной концепции SOAR (Security Automation, Orchestration and Response). Администратор, настраивая UserGate, может указать какие типы событий пересылаются для анализа в Log Analyzer:

Журнал событий;
Журнал системы обнаружения вторжений;
Журнал трафика, события АСУ ТП;
События из журнала веб-доступа.

В секции подготовки отчетов находятся готовые шаблоны, с помощью которых и происходит обработка. Также секция содержит выполненные по запросу администратора отчеты и правила их обработки.

UserGate Log Analyzer предлагает готовые шаблоны отчетов по следующим категориям:

Captive Portal;
Системные события;
Система обнаружения вторжений (СОВ);
Сетевая активность;
Веб-портал;
Трафик;
Веб-активность.

Сформированные отчеты могут автоматически отправляться по электронной почте администратору и другим уполномоченным лицам. Отправка возможна по расписанию в требуемое время и указанный день недели. Журналы могут отправляться на внешние системы SIEM. Одно из основных отличий UserGate Log Analyzer от встроенного сервера статистики является возможность создавать собственные настраиваемые отчеты.

Использование отчетов из различных категорий позволяет выявить потенциальные угрозы на основе анализа произошедших событий. Решение UserGate Log Analyzer позволяет сопоставить результаты отчетов с установленными параметрами, и обеспечить соответствие инфраструктуры требованиям корпоративной политики безопасности.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 17 Декабря 2025 - 16:07

Трояны Мошенничество Онлайн-мошенничество Домашние пользователи Корпорации Mozilla

Вредоносные расширения для Firefox прятали код в логотипах

Исследователи обнаружили новую вредоносную кампанию под названием GhostPoster, в рамках которой злоумышленники прятали JavaScript-код прямо в логотипах расширений для Firefox. Такие аддоны набрали в сумме более 50 тысяч установок и долгое время выглядели совершенно безобидно.

На схему обратили внимание специалисты Koi Security. Они выявили как минимум 17 расширений, в которых вредоносный код либо извлекался из PNG-изображения логотипа с помощью стеганографии, либо подгружался с серверов атакующих.

При этом все расширения вели себя схожим образом и использовали одну и ту же инфраструктуру управления.

Особенно неприятно, что заражённые расширения относились к популярным категориям: VPN, переводчики, погода, скриншоты, жесты мыши, блокировка рекламы и даже аналоги Dark Reader. Среди них — FreeVPN Forever, различные «Google Translate», расширения для погоды, VPN и загрузки контента.

Механика атаки продумана достаточно хитро. В одном из расширений — FreeVPN Forever — вредоносный загрузчик был спрятан в байтах изображения логотипа. После установки расширение выжидало около 48 часов, а затем пыталось скачать основной вредоносный модуль с удалённого сервера.

Причём происходило это лишь в одном случае из десяти, что помогало обходить системы мониторинга трафика. На случай недоступности основного сервера был предусмотрен запасной домен.

Загружаемый код был сильно обфусцирован: использовались перестановка регистра, base64, а затем дополнительное XOR-шифрование с ключом, привязанным к ID расширения. В итоге в браузер попадал полноценный бэкдор с широкими возможностями.

По данным Koi Security, финальный пейлоад умел:

подменять партнёрские ссылки в крупных интернет-магазинах, перенаправляя комиссии злоумышленникам;
внедрять трекеры Google Analytics на все посещаемые страницы;
удалять защитные HTTP-заголовки;
обходить CAPTCHA несколькими способами;
вставлять невидимые iframe для рекламного и клик-фрода, которые самоуничтожались через 15 секунд.

Хотя расширения не воровали пароли и не вели пользователей на фишинговые сайты, они серьёзно нарушали конфиденциальность и давали атакующим постоянный высокопривилегированный доступ к браузеру. Исследователи отдельно отмечают, что при таком скрытном загрузчике злоумышленники в любой момент могли бы заменить полезную нагрузку на куда более опасную.

На момент публикации часть вредоносных расширений всё ещё была доступна в каталоге Firefox Add-ons. Однако Mozilla оперативно отреагировала на отчёт. Представитель компании сообщил, что все выявленные расширения уже удалены, а автоматические системы обновлены для выявления и блокировки подобных атак в будущем.

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »