⌛️ Представляем новую версию PT Sandbox — 5.6!

Расскажем о ключевых изменениях:

⏳ Наша песочница получила интеграцию со средством проверки ссылок по индикаторам компрометации — Positive Technologies Indicators of Compromise (PT IoC).

Технология обогащает детекты и избавляет от необходимости писать точечные правила, что позволяет аналитикам ИБ быстрее и более полно анализировать киберинциденты.

Благодаря дополнительному набору экспертизы в PT Sandbox повыcилась точность и скорость обнаружения угроз. Например, теперь в срабатывании указываются класс вредоносной программы, ее название или имя эксплойта.

⏳ В новой версии расширена экспертиза сетевой аналитики.

При поведенческом анализе файлов в ОС семейства Linux выполняется мониторинг сетевых портов. Модифицируя вредоносы, киберпреступники реже всего изменяют их трафик.

Чтобы отслеживать сетевые соединения, инициированные конкретным ВПО, наши специалисты категоризировали точечные угрозы.

⏳ Начиная с версии 5.6 при статическом анализе PT Sandbox распаковывает установочные пакеты, созданные при помощи таких популярных утилит, как ASPack, FSG, MPRESS, PECompact и UPX.

Это позволяет эффективно обнаруживать пентестерский и хакерский инструментарий, который невозможно выявить динамически.

💬 «Ключевая особенность обновленного PT Sandbox — более гибкое управление анализом. При этом проверки стали комплекснее и глубже и теперь дают еще более точные результаты. Например, песочница анализирует безопасность ссылок не только в теле письма, но и во вложенных файлах», — рассказал Сергей Осипов, руководитель направления защиты от вредоносного ПО в Positive Technologies.

Обо всех основных новинках в PT Sandbox команда расскажет на вебинаре 28 ноября в 14:00.

@Positive_Technologies
#PTSandbox

⌛️ PT Sandbox — один из наших самых быстро развивающихся продуктов, который обновляется почти каждый месяц.

На прошлой неделе мы представили версию 5.6, среди ключевых изменений которой — проверка ссылок по индикаторам компрометации с помощью PT IoC, мониторинг сетевых портов при поведенческом анализе в Linux-системах, а также распаковка при статическом анализе установочных пакетов, сжатых при помощи популярных упаковщиков.

👨‍💻 Какие еще новые фичи появились в песочнице с момента запуска версии 5.0 в апреле 2023 года? Какие преимущества дает пользователям быстрый релизный цикл и как команде удается поддерживать высокое качество при такой частоте обновлений продукта?

Об этом расскажем на вебинаре уже завтра, 28 ноября, в 14:00 — регистрируйтесь на нашем сайте.

#PTSandbox
@Positive_Technologies

🔐 Шифровальщики — самый используемый у злоумышленников тип вредоносного ПО в успешных атаках на организации. Обычно они рассылаются по огромной базе почтовых адресов и выглядят как документ Word или Excel или как PDF-файл.

Представьте, что вы — сотрудник бухгалтерии. Файлы таких форматов повсеместно используются в системах электронного документооборота.

И вот вам на почту приходит очередной счет от поставщика на оплату новогодних шапок для котиков 🐱, который вы давно ждали. После скачивания файла антивирус, установленный IT-отделом на все устройства компании, промолчал. И кажется, что все безопасно.

Вы открываете файл и... Он выдает ошибку. «Значит, файл битый», — думаете вы и идете в почту просить новый. А между тем данные на вашем устройстве начинают шифроваться. После вас ждут звонки в IT, восстановление из резервной копии или поиски дешифратора — а точнее, много потраченных часов или дней.

⏳ Время можно было бы сэкономить, если бы у вашей компании была сетевая песочница. Вот как бы выглядел этот сценарий в таком случае:

1. На почтовый сервер пришло письмо с файлом, но вы еще не видите этого письма.

2. Оно отправляется в песочницу, которая за считанные минуты его проверяет, да не просто по сигнатурному методу анализа (как это делает антивирус), а в изолированной виртуальной среде, под которую данный файл был придуман.

3. Оказывается, что файл не такой безопасный, как нам казалось. И он блокируется.

👀 Это история только одного шифровальщика. А ведь в день на корпоративные адреса поступают тысячи писем. И у каждой компании своя уникальная инфраструктура, а значит, и пожеланий у пользователей сетевой песочницы бывает много.

.⌛️ Как мы с ними работаем и улучшаем нашу песочницу PT Sandbox, в блоге на Хабре рассказал Александр Грачев, руководитель департамента продуктовой поддержки в Positive Technologies.

@Positive_Technologies
#PositiveЭксперты
#PTSandbox

🕵️ Для того чтобы наши продукты были самыми безопасными, мы считаем, что необходимо привлекать максимум профессионального сообщества к их проверке. Поэтому в декабре была запущена первая продуктовая программа багбаунти для межсетевого экрана уровня веб-приложений PT Cloud Application Firewall.

⚡️ А сегодня мы запускаем программы для одних из самых востребованных на рынке продуктов — PT Sandbox и PT Network Attack Discovery. И это очередной шаг для компании в подтверждении успешности концепции результативной кибербезопасности на своем опыте.

💬 «Способность критически мыслить и смотреть на инфраструктуру, пользоваться нестандартными ходами очень важна при построении реально работающей системы результативной кибербезопасности. И белые хакеры как раз могут предложить все это — и с их помощью можно эффективно оценить защищенность организации», — отмечает Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).

@Positive_Technologies
#PTNAD
#PTSandbox

⌛️ PT Sandbox — первая песочница с искусственным интеллектом в реестре российского ПО

Наш продукт использует алгоритм машинного обучения для выявления неизвестных киберугроз.

ML-система PT Sandbox анализирует более 8500 признаков поведения объекта с точки зрения тех процессов, которые он запускает. Процессы, в свою очередь, создают системные вызовы, мы учитываем их последовательность и некоторые паттерны. Благодаря такому комплексному анализу повышается точность выявления неизвестных целенаправленных угроз.

💬 «Запись в реестре российского ПО официально признает, что продукт содержит технологии искусственного интеллекта. Это подтверждение будет важно в первую очередь тем компаниям, для которых наличие технологий ИИ в продукте — обязательное условие», — отметил Сергей Осипов, руководитель направления защиты от ВПО, Positive Technologies.

💡 В одной из кибербитв Standoff атакующие запустили вредонос, который перед началом своей активности создал цепочку подпроцессов в количестве 100 штук. ML-решение заметило эту аномалию, в то время как классической сигнатуры для ее обнаружении в продукте не было. Так, алгоритм, помимо прочего, помогает расширять экспертизу, используемую в PT Sandbox.

⏳ Познакомиться с продуктом ближе вы можете оставив заявку на нашем сайте.

@Positive_Technologies
#PTSandbox

✉️ Электронная почта сегодня есть у всех — именно поэтому она является самым популярным вектором атак злоумышленников

Уже завтра, 29 мая, в 11:00 в прямом эфире AM Live Сергей Осипов, руководитель направления защиты от вредоносного ПО, Positive Technologies, вместе с коллегами-экспертами поговорят о том, как защитить конфиденциальность переписки и свести к минимуму угрозу утечек и несанкционированных проникновений через инбокс.

🗣 В фокусе обсуждения:

• Насколько совместимы друг с другом продукты разных вендоров? Расскажем, почему PT Sandbox может легко и бесшовно интегрироваться с любыми решениями для ИТ и ИБ, обеспечивая полноценную защиту от вредоносов.

• Как минимизировать ущерб от фишинговой атаки и утечки данных? Поговорим о превентивной проверке почты и сервисе PT Knockin для оценки защищенности инбокса.

• Примеры реальных атак и их последствий для ИТ-инфраструктуры и бизнеса.

• Эволюция средств и технологий защиты электронной почты в ближайшие 2–3 года.

Присоединяйтесь к трансляции завтра утром и не забудьте зарегистрироваться заранее.

#PTSandbox
#PTKnockin
@Positive_Technologies

😰 Вы можете даже не знать о том, что ваш компьютер заражен вредоносом, невидимым для большинства антивирусов, — UEFI-буткитом

Что это за вредоносное ПО и как с ним справляется наша песочница PT Sandbox, узнаете на вебинаре, который пройдет 25 июня в 14:00.

👆 Для справки

UEFI — платформа, через которую загружаются операционные системы практически на всех современных компьютерах. Написанные под нее буткиты (вредоносы, которые срабатывают в начале загрузки компьютера и могут управлять всеми этапами запуска ОС) умеют обходить стандартную защиту и при заражении устройства остаются незаметными для большинства антивирусных программ.

🏖 Что делать

Мы реализовали поддержку UEFI в PT Sandbox, чтобы детектировать угрозы для платформы и обеспечить ее комплексную защиту. На вебинаре расскажем, с какими трудностями пришлось столкнуться в процессе и что в итоге получилось. Будет много технических деталей и экспертизы.

⌛️ Регистрируйтесь на вебинар заранее на нашем сайте.

#PTSandbox
@Positive_Technologies

Кто проживает в глубинах сети? Вре-до-носы! 👾

А как их ловят с помощью песочницы PT Sandbox расскажут пользователи нашего продукта на NetCase Day 24 сентября в 16:00.

🔥 Это будет первый митап честных кейсов по сетевой безопасности.

На нем мы не будем говорить о фичах наших NetSec-решений, а вместе с заказчиками, технологическими партнерами и интеграторами обсудим производительность, функционал и экспертизу — то, как они их видят и как пользуются продуктами.

⌛️ 🌐 Регистрируйтесь заранее на нашем сайте, чтобы узнать реальные кейсы использования PT Sandbox и PT NAD.

#PTSandbox #PTNAD
@Positive_Technologies

🎭 Киберпреступники часто мимикрируют под обычных юзеров

Как их выявить в сети до того, как они нанесут неприемлемый ущерб? Расскажут пользователи нашей системы поведенческого анализа трафика PT Network Attack Discovery на NetCase Day.

🔥 Мы проведем его 24 сентября в 16:00. В прямом эфире вы сможете узнать «боевые» истории пользователей наших NetSec-решений.

На примере реальных кейсов обсудим, как нам удалось повысить производительность PT NAD и на какие фичи делаем ставку. Кроме того, расскажем, какие мощные бенефиты дает синергия двух продуктов — PT Sandbox и PT NAD.

🌐 ⌛️ Зарегистрироваться на первый митап честных кейсов по сетевой безопасности можно на нашем сайте. Ждем вас!

#PTNAD #PTSandbox
@Positive_Technologies

▶️ Первый митап честных кейсов по сетевой безопасности NetCase Day — уже в прямом эфире!

Подключаетесь к нам онлайн и узнавайте больше о PT Sandbox и PT Network Attack Discovery — от продуктовых команд, наших клиентов и партнеров.

Смотреть NetCase Day 👀

#PTNAD #PTSandbox
@Positive_Technologies

⌛️ Как обновился PT Sandbox за год? Проведем гранд-обзор 10 декабря в 14:00!

Если вы не успели за всеми изменениями, которые произошли с PT Sandbox в этом году, приглашаем посетить наш уютный вебинар.

Вместе вспомним главные достижения в разработке песочницы:

🏎 Как нам удалось в несколько раз повысить производительность, не потеряв качество обнаружения.

🔗 Какие правила, технологии и подходы помогли обеспечить расширенный анализ ссылок.

📄 Как мы реализовали поведенческий анализ новых типов и форматов файлов.

⏳ За счет чего расширили возможности кастомизации песочницы и многое другое.

Кроме обновлений функциональных и экспертных возможностей, обсудим масштабные планы команды PT Sandbox на 2025 год.

Присоединяйтесь!

#PTSandbox
@Positive_Technologies

🤔 Вы уже видели этот вредонос? Нет. А он есть, и PT Sandbox его видит

Специалисты экспертного центра безопасности Positive Technologies (@ptescalator) с помощью поведенческого анализа в PT Sandbox выявили новую вредоносную активность, направленную на российские компании.

Рассказываем, как это произошло.

1️⃣ Все началось c фишингового письма

Письмо было отправлено 14 октября: оно обошло первый эшелон защиты (почтовый шлюз) и попало на анализ в PT Sandbox. Внутри него содержалась фраза «Платежное поручение! Ждем от вас акты», а также ссылка на скачивание RAR-архива oplata_plateznoe_1C.rar с исполняемым файлом, замаскированным под PDF-файл.

Информация о файле появилась в VirusTotal (VT) в тот же день, однако не все средства защиты успели обновить свои базы и, соответственно, начать детектировать вредоносное содержимое. Поэтому письмо попало на анализ в песочницу.

2️⃣ Еще одно письмо с похожим текстом получено 20 ноября

Однако в нем использовалась другая ссылка (домен злоумышленников мимикрировал под сайт производителя СЗИ), по которой скачивался файл Платежное поручение 1С.rar с вредоносом внутри.

Информация о содержимом появилась в VT 20 ноября. Проверив домен на следующий день, специалисты увидели, что он ассоциируется со многими вредоносными файлами, замеченными в ноябре и ориентированными в первую очередь на российские организации.

🫣 Что общего у этих писем?

• Они рассылались с легитимных почтовых ящиков, которые, по предварительным данным, принадлежат реальным организациям (но были под контролем у злоумышленников).

• Оба извлеченных файла являются загрузчиками вредоносных программ (Trojan‑Downloader), написанными на .NET.

• У обоих файлов — общий адрес управляющего сервера, что говорит об их принадлежности к одной кампании.

• После запуска нагрузки первой стадии скачиваются другие: PureLogs Stealer, AsyncRAT или DarkVision RAT. Все они запускаются через внедрение кода в легитимный процесс Microsoft.NET Framework — InstallUtil.exe.

• На этой стадии файл детектируется песочницей как Trojan.Win32.Generic.a / Trojan.Win32.Inject.a. Все дополнительно скачиваемые нагрузки уже не один раз анализировались и хорошо известны.

💡 Из этих примеров видно, что новые вредоносы практически невозможно обнаружить статическими методами анализа: злоумышленники могут изменить схему обфускации, и файл пропадет с радаров. Не спасут и базовые средства защиты, так как письма могут приходить со взломанных легитимных почтовых ящиков контрагентов организации.

Но усиление безопасности решениями с поведенческим анализом вредоносов, например PT Sandbox, позволит обеспечить защиту от новых и неизвестных ранее угроз и заблокировать их проникновение в контур компании.

😲 Все технические подробности вы можете найти в материале на сайте anti-malware.ru.

#PTSandbox
@Positive_Technologies