В PT Sandbox добавили проверку ссылок по IoC

В PT Sandbox добавили проверку ссылок по IoC

В PT Sandbox добавили проверку ссылок по IoC

ИБ-компания Positive Technologies анонсировала выпуск PT Sandbox 5.6. В продукт добавлены проверка ссылок по IoC, мониторинг портов при поведенческом анализе файлов в Linux, распаковка установочных пакетов, сжатых с помощью популярных упаковщиков.

Интеграция сетевой песочницы с PT IoC повысила точность и скорость обнаружения угроз. Например, теперь в точечном срабатывании указывается класс вредоносной программы, ее название или имя эксплойта.

Реализация возможности отслеживания сетевых соединений вредоносов в Linux потребовала категоризации точечных угроз. С этой целью специалисты PT использовали более 7 тыс. правил, позволяющих системе анализа трафика PT Network Attack Discovery выявлять атаки на периметре и внутри сети.

Использование программ-упаковщиков позволяет злоумышленникам обходить средства защиты. Разработчики научили PT Sandbox при статическом анализе распаковывать установочные пакеты, созданные с помощью таких утилит, как ASPack, FSG, MPRESS, PECompact и UPX.

При проверке PDF-файлов песочница теперь относит к потенциально опасным следующие:

  • зашифрованные;
  • содержащие объекты OLE;
  • содержащие JavaScript-сценарии;
  • с настройкой действий при открытии (запуск обращения к внешнему ресурсу).

Пользователь может задать и другие критерии для определения небезопасности таких документов. При необходимости эту функцию можно отключить.

Песочницу также научили распаковывать установочные пакеты DEB при поведенческом анализе. Разбору и проверке на вредоносное содержимое теперь подвергается не только сам пакет, но и каждый файл в нем.

«Ключевая особенность обновленного PT Sandbox — более гибкое управление процессами анализа, — отметил Сергей Осипов, руководитель направления защиты от вредоносного ПО в Positive Technologies. — При этом сами проверки стали более комплексными и глубокими и теперь дают еще более точные результаты. Например, песочница анализирует безопасность ссылок не только в теле письма, но и во вложенных файлах. За счет фундаментального разбора опасных форматов файлов (например, пакетов установки RPM, ARJ-архивов) мы увеличили качество детектирования вредоносного ПО, а также дали возможность пользователям влиять на работу продукта. Поддержка интеграций с другими экспертными системами, созданными как нашей, так и другими компаниями (например, «NANO Антивирус» от NANO Security), расширяет область обнаружения и повышает знание PT Sandbox о пойманных вредоносах».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru