XDR: обнаружение сложных угроз на конечных точках

- КиТ :: Будь в СЕТИ!

Бизнес сталкивается с отсутствием эффективной защиты от киберугроз. При этом ИБ-департаментам не хватает финансирования, а свободных кадров на рынке практически нет. Чтобы защитить свой бизнес в этой ситуации необходимо внедрять решения расширенного обнаружения и реагирования на угрозы (XDR).

ожет ли XDR повысить производительность специалистов по безопасности? Сколько векторов атак охватывает решение XDR? Почему не стоит выбирать решение XDR наугад? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet об основных критериях для выбора решения XDR.

Электронная книга

Как сделать удаленные подключения безопасными?

Многие компании используют VPN для соединения с корпоративной сетью. Но такой сценарий может полностью уничтожить защитные инструменты организации. Даже когда пандемия закончится, руководителям ИБ-отделов понадобится более эффективная стратегия поддержки удаленной работы.

Чем доступ к сети с нулевым доверием (ZTNA) лучше, чем простой VPN? Почему опасно беспечное развертывание приложений в облаке? Стоит ли отказаться от подходов к обеспечению ИБ на основе периметров? Зарегистрируйтесь, чтобы скачать электронную книгу и прочитать, как создать решение для безопасного удаленного подключения.

Электронная книга

Как небольшие компании справляются с профессиональными киберпреступниками

Развитые арсеналы киберпреступников и бесконечный поток ИБ-технологий критическим образом сказываются на небольших компаниях с маленькими отделами информационной безопасности. Разобраться в сложных продуктах разных поставщиков самостоятельно - почти нереально, но хакеры не дают времени на передышку. Консолидировать данные из разных систем помогают решения расширенного обнаружения и реагирования на сложные угрозы (XDR).

Как быстро обнаружить угрозу даже с небольшим ИБ-отделом? Можно ли объединить данные из разных систем на одной платформе? Можно ли доверять автоматизированным решениям XDR? Зарегистрируйтесь, чтобы скачать электронную книгу о том, как получить полный контроль над ИБ-операциями внутри компании. Поделиться Китайскоязычная программа 9 лет открывала хакерам доступ к ПК под Windows Специалисты ESET нашли буткит, который использует интерфейс UEFI для обеспечения присутствия в системе и запуска до загрузки операционной системы. Подобные вредоносы пока еще остаются большой редкостью.

Постоянство присутствия

Специалисты словацкой фирмы ESET обнаружили ранее незадокументированный UEFI-буткит, которым неизвестные злоумышленники пользовались для установки бэкдоров в системы на базе Windows.

Буткит позволяет модифицировать менеджер загрузки Windows (BootManager) и тем самым обеспечивает злоумышленникам возможность постоянного присутствия в системе.

Эксперты ESET назвали буткит ESPecter, в частности, за то, что он подгружается в независимый от операционной системы раздел EFI (ESP), где хранятся загрузчики или образы ядра, файлы драйверов устройств и другие критические данные.

ESPecter также позволяет обходить систему проверки цифровой подписи драйверов (Microsoft Windows Driver Signature Enforcement) и подгружать свой собственный неподписанный драйвер, который затем может использоваться для выполнения шпионских действий, в том числе, вывода данных, перехвата сигналов от клавиатуры (кейлоггинга) и периодического снятия скриншотов.

Обнаружен редкий UEFI-буткит с китайскоязычными артефактами

Каким именно образом вредонос проникает в систему, пока остается неизвестным. ESET пока не установил происхождение группировки, стоящей за этим буткитом. Однако в коде обнаружились артефакты на китайском языке.

От BIOS к UEFI

Специалисты ESET установили, что ESPecter появился не позднее 2012 г. На тот момент он использовался в основном для атак на компьютеры под Windows со старыми BIOS. Авторы вредоносной программы постепенно добавляли поддержку новых версий Windows, почти ничего не меняя в основных модулях вредоноса.

Самое значительное изменение произошло в 2020 г., когда авторы ESPecter решили переключиться с BIOS-систем на современные UEFI.

UEFI - это интерфейс расширяемой прошивки между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования, чье основное назначение - корректно инициализировать оборудование при включении системы и передать управление загрузчику или непосредственно ядру операционной системы.

ESPecter - всего лишь четвертый известный вредонос, атакующий UEFI, после LoJax, Mosaic Regressor и FinFisher. Последняя из этих программ использует те же методы сохранения присутствия в зараженной системе, что и ESPecter: через модификацию менеджера загрузки Windows.

«Модифицируя менеджер загрузки Windows злоумышленники добиваются запуска вредоноса на ранних стадиях запуска, до того, как операционная система полностью загружена, - отмечают исследователи. - Это позволяет ESPecter обходить проверку подписи драйверов, чтобы запускать свой неподписанный драйвер при старте системы».

В старых системах с BIOS ESPecter менял код головной загрузочной записи (MBR), располагающейся в первом физическом секторе жесткого диска с тем, чтобы модифицировать менеджер загрузки и загрузить вредоносный драйвер ядра. Этот драйвер, в свою очередь, загружал дополнительные вредоносные модули и кейлоггер, а затем удалял себя из системы.

Вне зависимости от того, какой вариант используется, загрузка драйвера приводит к инъекции дополнительных компонентов в определенные системные процессы и установке соединения с удаленным контрольным сервером; фактически скомпрометированная система ставится под полный контроль злоумышленников, не говоря уже о том, что с удаленного сервера на нее могут устанавливаться всевозможные дополнительные вредоносы.

«UEFI создавался как более новая и защищенная альтернатива BIOS, учитывающая недостатки последнего, однако свои уязвимые места есть и там, - говорит Данила Каревский, эксперт по информационной безопасности компании SEQ. - Хотя количество известных вредоносов, способных компрометировать UEFI, пока очень невелико, со временем их явно будет становиться больше. Слишком лакомая цель, а защита часто далека от идеала».

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg