Dr.Web FixIt! — новое в расследовании инцидентов

Dr.Web FixIt! — новое в расследовании инцидентов

Dr.Web FixIt! — новый облачный сервис для удаленной диагностики инцидентов от компании «Доктор Веб».

В отличие от продуктов, предназначенных для обнаружения уже известных (или похожих на известные) вредоносных программ с помощью вирусных баз, Dr.Web FixIt! позволяет выявлять новейшие вредоносные программы, а также программы, используемые для целевых атак и не выявляемые никакими иными инструментами. При этом он не требует установки и не вступает в конфликт с антивирусами, установленными на ПК.

Задачи, которые решает Dr.Web FixIt!

  • Анализ компьютера после известного случая заражения вредоносным ПО с последующим лечением.
  • Анализ компьютера при подозрении на вирусную активность.
  • Поиск следов вредоносной активности после заражения.
  • Устранение последствий заражения различным вредоносным ПО.
  • Сбор данных при расследовании целевых атак на информационные системы.
  • Поиск нарушений правил и политик ИБ компании.
  • Выяснение причины произошедших заражений и других инцидентов ИБ.

Как работает Dr.Web FixIt!

Решение состоит из:

  • системы сбора данных,
  • аналитической части с созданием и применением фильтров нужных категорий данных,
  • программных модулей для выяснения причин и лечения инцидентов в системе пользователя.

Сервис генерирует диагностическую утилиту FixIt! для выявления следов присутствия вредоносных программ и на основе собранного ей отчета проводит диагностику.

Диагностическая утилита собирает данные, исследуя:

  • установленные программы и обновления;
  • запущенные и запускаемые процессы;
  • подозрительные записи в реестре и их связи с другими объектами;
  • установленные драйверы и расширения браузеров;
  • модули, загруженные в процессы;
  • системные журналы (которые содержат много полезной информации о том, что про-исходило на компьютере, а в ряде случаев — и о том, как на этот компьютер проник злоумышленник;
  • сектора диска, в том числе скрытые буткитами (для этого используется уникальный модуль, который позволяет обходить все известные буткиты и считывать настоящие сектора диска, как бы их не прятали);
  • информацию об аппаратном обеспечении (bios, процессор, память, диски, сетевые кар-ты и т.д.);
  • разобранную на файлы UEFI прошивку современных компьютеров (вся прошивка в виде файлов попадает в отчет для анализа в ней имплантов);
  • информацию о файлах с детектами антивируса, которые попадают на анализ при сборе на станции;
  • объекты автозагрузки в различных подсистемах (реестр, WMI, планировщик задач);
  • установленные службы;
  • сетевые соединения всех процессов в системе;
  • установленные обновления ОС и не установленные, но доступные для загрузки обновления ОС;
  • информацию о скрытом внутри процессов исполняемом коде;
  • информацию о т.н. Hollowed тактиках скрытия кода в процессах;
  • информацию об уровне аппаратной защиты и ОС от всемирно известных уязвимостей Meltdown/Spectre;
  • данные об удаленных сессиях пользователя (RDP) с информацией о том, с какого IP и ка-кой клиент подключился.

Собранные данные анализируются с помощью набора предустановленных фильтров, подготовленных аналитиками компании «Доктор Веб», либо с помощью собственных фильтров, заданных оператором.

В случае выявления вредоносного ПО создается лечащая утилита FixIt!, которая устраняет последствия заражения. Затем система может быть исследована снова — столько раз, сколько нужно для полного устранения всех последствий инцидента.

Целевая аудитория Dr.Web FixIt!

  • Команды ИБ-специалистов, ответственные за мониторинг безопасности и реагирование на инциденты (SOC центры).
  • Компании, предполагающие, что в их сетях происходит или уже произошел инцидент, у которых отсутствуют SOC-подразделение или специалисты по антивирусной безопасности для выявления остаточных следов вирусного заражения и выработки мер, кото-рые не допустят подобных инцидентов в будущем.
  • Компании, к веб-сервисам которых подключаются клиенты или партнеры, заинтересованные в том, чтобы онлайн-взаимодействие с клиентами происходило с незараженных устройств.
  • Компании, которые специализируются на ремонте компьютерных устройств и устранении вирусных заражений.
  • Компании, которые специализируются на расследованиях инцидентов.
  • Лицензирование Dr.Web FixIt!

Сервис лицензируется по числу задач (задача — это совокупность действий по сбору и анализу данных, а также иных действий по команде пользователя на одном ПК или сервере, включая виртуальные).

Приобрести Dr.Web FixIt! можно пакетами по 1, 10, 20, 50 или 100 задач. Срок лицензии Dr.Web FixIt! — 1 год.

Работа с задачами осуществляется через личный кабинет пользователя Dr.Web FixIt!, доступ к которому предоставляется после активации серийного номера.

Связанные с сервисом услуги

Специалисты компании «Доктор Веб» могут:

  • проанализировать данные, полученные с помощью Dr.Web FixIt!,
  • помочь устранить последствия заражения,
  • определить потенциальные масштабы ущерба на основе анализа обнаруженных вредоносных файлов,
  • предложить меры по минимизации потерь и исключению повторения компьютерных атак.

Чтобы воспользоваться этой услугой, нужно приобрести сертификат на экспертное сопровождение. Он дает право на получение сопровождения одной задачи. При этом срок действия сертификата не ограничен.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!