Вышел МК Enterprise 2.1 с расширенным исследованием рабочих станций

Екатерина Быстрова 03 Октября 2022 - 18:07

Расследование инцидентов (EndPoint Forensics)

...

Вышел МК Enterprise 2.1 с расширенным исследованием рабочих станций

«МКО Системы», российский разработчик программного обеспечения для расследования инцидентов и проведения аудита информационной безопасности компании, анонсирует «МК Enterprise» версии 2.1.

«Одним из главных ресурсов компании наравне с финансами является информация, не предназначенных для публичного доступа. Во многих случаях ее разглашение — результат деятельности сотрудников, а не техническая ошибка, — говорит Ольга Гутман, генеральный директор компании «МКО Системы».

Сегодня перед специалистами ИБ особенно остро стоит вопрос о расследовании корпоративных инцидентов, связанных с умышленной утечкой данных. Поэтому в их арсенале должен быть эффективный инструмент для выявления и анализа действий злоумышленника, — отмечает она. — В «МК Enterprise» версии 2.1 расширены возможности исследования рабочих станций, — подчеркивает Ольга

Теперь при работе с устройством на macOS 13 Beta можно узнать, какие приложения используются чаще остальных благодаря артефакту Stage Manager. А с помощью артефактов Cryptnet URL cache и WMI persistence при изучении устройства на платформе Windows, удастся получить информацию о загруженных злоумышленниками файлах и вычислить подозрительные действия, не свойственные системе по умолчанию».

С обновленной функциональностью сотрудник службы безопасности, помимо обнаружения вредоносных программ, сможет отследить, куда и какие именно данные они направляют. Помогут в этом извлеченные списки всех модулей операционной системы, сетевых соединений и используемых файлов для исполняемых процессов.

Центр Управления Агентами в версии 2.1 позволит отслеживать в режиме реального времени состояние всех запущенных на рабочих станциях задач и создавать отчеты по ним, а также настраивать периодичность и время их запуска.

Кроме того, обновление сократит временные затраты ИБ-специалистов при добавлении большого количества станций и развертывания агентов на них за счет возможности загрузки файлов в форматах CSV и TSV списка рабочих станций.

Также новая версия открывает доступ к «облаку» Twist. Из корпоративного мессенджера программа получает сообщения с вложениями, данные владельца учетной записи, информацию о каналах и группах и многое другое.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 17 Декабря 2025 - 08:46

Android Трояны Домашние пользователи

Новый Android-вредонос внедряется в установленные на смартфоне приложения

На киберпреступных форумах злоумышленники продвигают новый Android-зловред формата «вредонос как услуга» (malware-as-a-service, MaaS). Троян получил имя Cellik, а его главная «фишка» — возможность встраивать вредоносную начинку в любые приложения из Google Play, сохраняя их внешний вид и рабочую функциональность.

Схема выглядит просто и опасно одновременно. Злоумышленник выбирает популярное приложение из официального магазина, собирает его троянизированную версию — и на выходе получает APK, который ведёт себя как обычное приложение.

Интерфейс на месте, функции работают, а пользователь долгое время может не подозревать, что вместе с приложением установил зловред. Продавец Cellik даже утверждает, что такой подход помогает обходить Google Play Protect, хотя подтверждений этому пока нет.

На Cellik обратили внимание специалисты из iVerify. По их данным, зловред продаётся по подписке за 150 долларов в месяц или за 900 долларов за пожизненную лицензию.

По возможностям Cellik — это полноценный шпионский инструмент. Он умеет в режиме реального времени транслировать экран устройства, перехватывать уведомления, просматривать файловую систему, выгружать файлы, стирать данные и общаться с управляющим сервером по зашифрованному каналу.

Есть и скрытый браузерный режим, который позволяет злоумышленнику открывать сайты с заражённого устройства, используя сохранённые у жертвы cookies.

Отдельного внимания заслуживает система инъекций. Cellik позволяет накладывать фальшивые окна входа поверх любых приложений или внедрять код прямо в них, чтобы красть учётные данные.

Более того, зловред может «подсаживать» вредоносную функциональность в уже установленные приложения — и тогда даже давно знакомая программа внезапно начинает вести себя подозрительно.

Самый тревожный момент — интеграция Google Play в APK-билдер Cellik. Прямо из интерфейса инструмента злоумышленник может просматривать магазин приложений, выбирать нужные и сразу собирать их заражённые версии. В iVerify отмечают, что ставка делается именно на доверие к популярным приложениям: трояны, спрятанные внутри них, потенциально могут дольше оставаться незамеченными автоматическими проверками.

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »