Positive Technologies выпустила новую версию песочницы для риск-ориентированной защиты и предотвращения целенаправленных атак — PT Sandbox 4.3. Главное в новой версии – это поддержка среды операционной системы Astra Linux, а также обнаружение нового класса ВПО — буткитов, которые запускаются ещё до старта операционной системы и поэтому может полностью захватить инфицированную машину или заблокировать запуск основной операционной системы. Такие вредносы по данным аналитиков компании сейчас набирают популярность у злоумышленников.
Решения для новых вызовов
PT Sandbox 4.3 получил поддержку ОС Astra Linux — отечественного дистрибутива Linux, который входит в реестр отечественного ПО и который активно внедряют сейчас государственные органы, госкорпорации и компании с госучастием. Поддержка в песочнице такой операционной системы – новая возможность по настройке виртуальной среды для анализа поведения кодов позволяет госсектору и отечественным организациям, как уже использующим данный софт, так и планирующим установить его в рамках импортозамещения, выявлять сложные атаки с применением современного вредоносного ПО, специально адаптированного под их инфраструктуру и рабочие станции. Поскольку злоумышленники всегда атакуют с помощью установленного у жертвы базового ПО, то в ближайшее время можно ожидать появления вредоносов и хакерских инструментов, разработанных под отечественные операционные системы, в частности Astra Linux.
Начиная с версии 4.3 PT Sandbox обнаруживает еще один опасный класс ВПО — буткиты. Проведенное Positive Technologies исследование вредоносных загрузчиков показало, что сейчас они набирают популярность: киберпреступники, в том числе APT-группировки, такие как Careto, Winnti (APT41) и FIN1, все чаще используют их в целевых и массовых атаках. Буткиты получают управление до загрузки операционной системы и помогают другим вредоносам незаметно закрепиться в ней до запуска. Для их выявления специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) разработали технологию, не имеющую аналогов на российском рынке песочниц. Специальный модуль bootkitmon в PT Sandbox детектирует вредоносные загрузчики как старого образца (разработанные под BIOS), так и современные (ориентированные на прошивку UEFI, например Mosaic Regressor, TrickBoot и FinSpy) на всех этапах их работы.
«Регулярное появление уязвимостей в прошивках дает злоумышленникам новые векторы для успешных атак, – подчеркивает руководитель отдела обнаружения вредоносного ПО Positive Technologies Алексей Вишняков. – Это также подстегивает развитие буткитов, которые помогают атакующим надежно и насколько возможно долго скрываться в инфраструктуре скомпрометированных компаний. В PT Sandbox реализован механизм выявления буткитов не только на начальном этапе инфицирования, но и на стадии перезагрузки ОС, когда уже после загрузки компьютера вредонос начинает действовать. Режим анализа с перезагрузкой системы позволяет пользователям песочницы Positive Technologies продолжить наблюдение за этой стадией и, если буткиту ранее все же удалось незаметно выполнить заражение, получить детальную информацию о его поведении. Это поможет своевременно остановить угрозу».
Опасности буткитов
Летом 2022 года эксперты Positive Technologies проанализировали все известные 39 семейств буткитов, как существующих в формате технологического образца, доказывающем возможность осуществления идеи или метода, так и использующихся в реальных атаках злоумышленников с 2005 по 2021 год. Исследование показало, что каждый второй вредоносный загрузчик применяется в целевых атаках. Несмотря на высокую стоимость разработки этих вредоносов, злоумышленники все чаще стали использовать их и в массовых атаках. Обнаружить их средствами операционной системы и запущенных в ней приложений, как правило, невозможно. Буткиты обеспечивают глубокое внедрение вредоносных кодов в инфраструктуры предприятия, поэтому защита от них или даже просто их обнаружение очень важно для и повышения защищённости всей корпоративной инфраструктуры.
