XDR: обнаружение сложных угроз на конечных точках

Бизнес сталкивается с отсутствием эффективной защиты от киберугроз. При этом ИБ-департаментам не хватает финансирования, а свободных кадров на рынке практически нет. Чтобы защитить свой бизнес в этой ситуации необходимо внедрять решения расширенного обнаружения и реагирования на угрозы (XDR).

    • КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента
P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

ожет ли XDR повысить производительность специалистов по безопасности? Сколько векторов атак охватывает решение XDR? Почему не стоит выбирать решение XDR наугад? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet об основных критериях для выбора решения XDR.

Электронная книга

Как сделать удаленные подключения безопасными?

Многие компании используют VPN для соединения с корпоративной сетью. Но такой сценарий может полностью уничтожить защитные инструменты организации. Даже когда пандемия закончится, руководителям ИБ-отделов понадобится более эффективная стратегия поддержки удаленной работы.

Чем доступ к сети с нулевым доверием (ZTNA) лучше, чем простой VPN? Почему опасно беспечное развертывание приложений в облаке? Стоит ли отказаться от подходов к обеспечению ИБ на основе периметров? Зарегистрируйтесь, чтобы скачать электронную книгу и прочитать, как создать решение для безопасного удаленного подключения.

Электронная книга

Как небольшие компании справляются с профессиональными киберпреступниками

Развитые арсеналы киберпреступников и бесконечный поток ИБ-технологий критическим образом сказываются на небольших компаниях с маленькими отделами информационной безопасности. Разобраться в сложных продуктах разных поставщиков самостоятельно - почти нереально, но хакеры не дают времени на передышку. Консолидировать данные из разных систем помогают решения расширенного обнаружения и реагирования на сложные угрозы (XDR).

Как быстро обнаружить угрозу даже с небольшим ИБ-отделом? Можно ли объединить данные из разных систем на одной платформе? Можно ли доверять автоматизированным решениям XDR? Зарегистрируйтесь, чтобы скачать электронную книгу о том, как получить полный контроль над ИБ-операциями внутри компании. Поделиться Китайскоязычная программа 9 лет открывала хакерам доступ к ПК под Windows Специалисты ESET нашли буткит, который использует интерфейс UEFI для обеспечения присутствия в системе и запуска до загрузки операционной системы. Подобные вредоносы пока еще остаются большой редкостью.

Постоянство присутствия

Специалисты словацкой фирмы ESET обнаружили ранее незадокументированный UEFI-буткит, которым неизвестные злоумышленники пользовались для установки бэкдоров в системы на базе Windows.

Буткит позволяет модифицировать менеджер загрузки Windows (BootManager) и тем самым обеспечивает злоумышленникам возможность постоянного присутствия в системе.

Эксперты ESET назвали буткит ESPecter, в частности, за то, что он подгружается в независимый от операционной системы раздел EFI (ESP), где хранятся загрузчики или образы ядра, файлы драйверов устройств и другие критические данные.

ESPecter также позволяет обходить систему проверки цифровой подписи драйверов (Microsoft Windows Driver Signature Enforcement) и подгружать свой собственный неподписанный драйвер, который затем может использоваться для выполнения шпионских действий, в том числе, вывода данных, перехвата сигналов от клавиатуры (кейлоггинга) и периодического снятия скриншотов.

Обнаружен редкий UEFI-буткит с китайскоязычными артефактами

Каким именно образом вредонос проникает в систему, пока остается неизвестным. ESET пока не установил происхождение группировки, стоящей за этим буткитом. Однако в коде обнаружились артефакты на китайском языке.

От BIOS к UEFI

Специалисты ESET установили, что ESPecter появился не позднее 2012 г. На тот момент он использовался в основном для атак на компьютеры под Windows со старыми BIOS. Авторы вредоносной программы постепенно добавляли поддержку новых версий Windows, почти ничего не меняя в основных модулях вредоноса.

Самое значительное изменение произошло в 2020 г., когда авторы ESPecter решили переключиться с BIOS-систем на современные UEFI.

UEFI - это интерфейс расширяемой прошивки между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования, чье основное назначение - корректно инициализировать оборудование при включении системы и передать управление загрузчику или непосредственно ядру операционной системы.

ESPecter - всего лишь четвертый известный вредонос, атакующий UEFI, после LoJax, Mosaic Regressor и FinFisher. Последняя из этих программ использует те же методы сохранения присутствия в зараженной системе, что и ESPecter: через модификацию менеджера загрузки Windows.

«Модифицируя менеджер загрузки Windows злоумышленники добиваются запуска вредоноса на ранних стадиях запуска, до того, как операционная система полностью загружена, - отмечают исследователи. - Это позволяет ESPecter обходить проверку подписи драйверов, чтобы запускать свой неподписанный драйвер при старте системы».

В старых системах с BIOS ESPecter менял код головной загрузочной записи (MBR), располагающейся в первом физическом секторе жесткого диска с тем, чтобы модифицировать менеджер загрузки и загрузить вредоносный драйвер ядра. Этот драйвер, в свою очередь, загружал дополнительные вредоносные модули и кейлоггер, а затем удалял себя из системы.

Вне зависимости от того, какой вариант используется, загрузка драйвера приводит к инъекции дополнительных компонентов в определенные системные процессы и установке соединения с удаленным контрольным сервером; фактически скомпрометированная система ставится под полный контроль злоумышленников, не говоря уже о том, что с удаленного сервера на нее могут устанавливаться всевозможные дополнительные вредоносы.

«UEFI создавался как более новая и защищенная альтернатива BIOS, учитывающая недостатки последнего, однако свои уязвимые места есть и там, - говорит Данила Каревский, эксперт по информационной безопасности компании SEQ. - Хотя количество известных вредоносов, способных компрометировать UEFI, пока очень невелико, со временем их явно будет становиться больше. Слишком лакомая цель, а защита часто далека от идеала».

В России произвели первую партию серверов «Яндекса»

«Яндекс» с партнерами выпустил первую партию серверов, изготовленных в России. Они основаны на базе разработанного в «Яндексе» сервера четвертого поколения. Такие серверы используют в дата-центрах для расширения облачной платформы Yandex.Cloud и в су...

Москва заняла второе место на международном конкурсе Global ICT Excellence Awards

Правительство Москвы заняло второе место среди государственных структур на международном конкурсе Global ICT Excellence Awards в номинации «Стартап-экосистема». Награду получают организации, реализовавшие наиболее успешные проекты поддержки стартапов...

Отряд «ЛизаАлерт» и билайн подводят итоги использования совместных технологий

Поисково-спасательный отряд «ЛизаАлерт» и билайн подвели итоги высокого поискового сезона 2021 года. ...

Роскомнадзор раскрыл компании, подпавшие под закон о «приземлении»

В реестр попали 13 компаний и принадлежащие им ресурсы, в том числе Google, Meta, Twitter и другие. Согласно закону о «приземлении» ИТ-гиганты должны открыть в России филиал или юрлицо и зарегистрироваться на сайте Роскомнадзора Alphabet ...

Как сэкономить время при покупке полиса для квартиры

Компания «АльфаСтрахование» при поддержке билайн запустила возможность автозаполнения клиентских данных с помощью «Мобильного ID» при покупке полиса для квартиры. Это вдвое сократило время оформления страховки. ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики
Каталог
Новости
Контакты
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;font-size:75%;font-weight:900;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, label + .cd-accordion-menu, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202110Новости, 202110 → XDR: обнаружение сложных угроз на конечных точках