Кошмар для хакера: PT Sandbox 5.6 прокачивает обнаружение сложных угроз

Positive Technologies представила новую версию своей сетевой песочницы для защиты от продвинутого вредоносного ПО и угроз нулевого дня — PT Sandbox 5.6 . Среди основных нововведений — проверка ссылок по индикаторам компрометации с помощью PT IoC , отслеживание сетевых портов при поведенческом анализе в Linux-системах, а также распаковка при мониторинге установочных пакетов, сжатых с помощью популярных упаковщиков (например, ASPack, UPX).

PT Sandbox стал первым продуктом Positive Technologies, который интегрирован со средством проверки ссылок по индикаторам компрометации Positive Technologies Indicators of Compromise (PT IoC). Технология обеспечивает более полную и быструю диагностику киберинцидентов, обогащая результаты обнаружения и избавляя от необходимости писать правила для каждой угрозы.

Благодаря дополнительному набору инструментов экспертизы в PT Sandbox улучшилась точность и скорость обнаружения. Например, теперь в отчетах указывается класс вредоносной программы, ее название или имя эксплойта.

В новой версии песочницы прокачана сетевая аналитика. Теперь при проверке файлов в Linux производится мониторинг сетевых портов. Модифицируя вредоносы, киберпреступники реже всего изменяют их трафик. Чтобы отслеживать сетевые соединения, инициированные конкретным ВПО, специалисты Positive Technologies классифицировали точечные угрозы. Для этого они использовали более 7 тысяч сетевых правил, позволяющих системе анализа трафика PT Network Attack Discovery обнаруживать атаки на периметре и внутри сети.

В массовых атаках злоумышленники часто применяют упаковщики, чтобы обходить средства защиты. Эти программы сжимают исполняемые файлы, скрывая вредоносный код. С версии 5.6 при статическом анализе PT Sandbox распаковывает установочные пакеты, созданные с помощью таких популярных утилит, как ASPack, FSG, MPRESS, PECompact и UPX. Это позволяет песочнице эффективно обнаруживать работу пентестерского и хакерского инструментария, который невозможно выявить при динамическом анализе.

При проверке PDF-файлов PT Sandbox 5.6 теперь считает потенциально опасными те из них, которые зашифрованы, содержат объекты OLE и сценарии JavaScript. При необходимости клиент может отключить эту функцию.

Кроме того, пользователи могут задать любые другие критерии для определения небезопасных PDF-документов. Еще одно значимое улучшение — распаковка установочных пакетов DEB при поведенческом анализе. Продукт анализирует и проверяет на вредоносное содержимое не только сам пакет, но и по отдельности все файлы в нем.

«Ключевая особенность обновленного PT Sandbox — более гибкое управление процессами анализа. При этом сами проверки стали более комплексными и глубокими и теперь дают еще более точные результаты. Например, песочница анализирует безопасность ссылок не только в теле письма, но и во вложенных файлах. За счет фундаментального разбора опасных форматов файлов (например, пакетов установки RPM, ARJ-архивов) мы увеличили качество детектирования вредоносного ПО, а также дали возможность пользователям влиять на работу продукта, — говорит Сергей Осипов, руководитель направления защиты от вредоносного ПО в Positive Technologies.