Новая версия PT Sandbox ловит атаки на Astra Linux и обнаруживает буткиты
Positive Technologies выпустила новую версию песочницы для риск-ориентированной защиты — PT Sandbox 4.3. Главное в релизе — добавление кастомизированной среды операционной системы Astra Linux, благодаря которой песочница теперь выявляет атаки с применением специфического вредоносного ПО, заточенного под данную ОС, а также обнаружение нового класса ВПО — буткитов, набирающих популярность у злоумышленников. На российском рынке сетевых песочниц защита от подобного рода киберугроз представлена впервые.
PT Sandbox 4.3 получил поддержку ОС Astra Linux — отечественного дистрибутива Linux, на который, согласно сообщениям СМИ, переходят государственные органы, госкорпорации и компании с госучастием. Новая возможность по кастомизации виртуальной среды для анализа поведения файлов позволяет госсектору и отечественным организациям, как уже использующим данный софт, так и планирующим установить его в рамках импортозамещения, выявлять сложные атаки с применением современного вредоносного ПО, специально заточенного под их инфраструктуру и рабочие станции.
«По данным наших исследований, государственный сектор ежегодно возглавляет рейтинг наиболее часто атакуемых отраслей. Многолетний опыт и экспертиза Positive Technologies показывают, что злоумышленники всегда атакуют через то программное обеспечение, которое используют их потенциальные жертвы. А значит, в ближайшее время можно ожидать появления вредоносного ПО и хакерских инструментов, разработанных под отечественные операционные системы, в частности Astra Linux, — сказал Сергей Осипов, руководитель направления защиты от вредоносного ПО Positive Technologies. — Зловреды, нацеленные на эту ОС, имеют совершенно иное поведение, нежели те, что применяются для атак на Windows-системы и хорошо распознаются нашей песочницей. Чтобы и в новых условиях обеспечивать безопасность отечественных ведомств и организаций, мы написали для PT Sandbox специальные правила, которые детектируют вредоносную активность в Astra Linux и покрывают реальные техники из матрицы MITRE ATT&CK, используемые злоумышленниками для обхода сетевых песочниц».
Начиная с версии 4.3 PT Sandbox обнаруживает еще один опасный класс вредоносного ПО — буткиты. Проведенное Positive Technologies исследование этого вида вредоносных программ показало, что сейчас буткиты набирают популярность: киберпреступники, в том числе APT-группировки, такие как Careto, Winnti (APT41) и FIN1, все чаще используют их в целевых и массовых атаках. Буткиты внедряются до загрузки операционной системы и помогают другим зловредам незаметно закрепиться в ней до запуска. Для их выявления специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) разработали технологию, по заявлению представителей компании, не имеющую аналогов на российском рынке песочниц. Специальный плагин bootkitmon в PT Sandbox детектирует буткиты как старого образца (разработанные под BIOS), так и современные (ориентированные на прошивку UEFI, например Mosaic Regressor, TrickBoot и FinSpy) на всех этапах их работы.
«Регулярное появление уязвимостей в прошивках дает злоумышленникам новые векторы для успешных атак. Это также подстегивает развитие буткитов, которые помогают атакующим надежно и насколько возможно долго скрываться в инфраструктуре скомпрометированных компаний, — сказал Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО Positive Technologies. — В PT Sandbox реализован механизм выявления буткитов не только на начальном этапе инфицирования, но и на стадии перезагрузки ОС, когда уже после загрузки компьютера вредонос начинает действовать. Режим анализа с перезагрузкой системы позволяет пользователям песочницы Positive Technologies продолжить наблюдение за этой стадией и, если буткиту ранее все же удалось незаметно выполнить заражение, получить детальную информацию о его поведении. Это поможет своевременно остановить угрозу».
PT Sandbox 4.3 уже доступен для пользователей. Действующие пользователи могут обновить версию продукта, обратившись к партнерам Positive Technologies или в техническую поддержку.