PT Sandbox

Основная статья: Security Information and Event Management (SIEM)

PT Sandbox предназначен для защиты корпоративной почты, пользовательского трафика и файловых хранилищ, а также выборочной проверки объектов.

2024: Песочница PT Sandbox отмечена в реестре отечественного ПО как продукт, использующий ИИ

Песочница PT Sandbox была отмечена в едином реестре российских программ как продукт, использующий технологии искусственного интеллекта. Продукт предназначен для защиты от целевых и массовых атак, в которых применяется вредоносное ПО. Об этом Positive Technologies (Позитив Текнолоджиз) сообщили 5 апреля 2024 года.

Злоумышленники постоянно совершенствуют вредоносное ПО, стремясь сделать его невидимым для классических средств защиты, — сказал Сергей Осипов, руководитель направления защиты от вредоносного ПО в компании Positive Technologies. — песочница PT Sandbox обнаруживает такие программы в файлах. Продукт проводит комплексные и глубокие проверки, в том числе с помощью ML-системы, которая реализует поведенческий анализ трасс процессов и обнаруживает в них вредоносное и нетипичное ПО. Запись в реестре российского ПО официально признает, что продукт содержит технологии искусственного интеллекта. Это подтверждение будет важно в первую очередь тем компаниям, для которых наличие технологий ИИ в продукте — обязательное условие.

ML-система PT Sandbox анализирует более 8500 признаков поведения объекта с точки зрения тех процессов, которые они запускают. Процессы, в свою очередь, создают системные вызовы, мы учитываем их последовательность и некоторые паттерны. Благодаря такому комплексному анализу повышается точность выявления неизвестных целенаправленных угроз. Например, на одной из кибербитв Standoff атакующие запустили вредоносную программу, которая перед началом своей активности создала цепочку подпроцессов в количестве 100 штук. ML-решение заметило эту аномалию, в то время как классической сигнатуры для ее обнаружении в продукте не было. Так алгоритм, помимо прочего, помогает расширять экспертизу, используемую в PT Sandbox. Эксперты продолжают тестировать модель на новых данных, повышая точность обнаружения угроз, а также обучать ее с учетом особенностей ИТ-инфраструктуры клиентов.

2023

Интеграция с «Континентом 4»

Песочница PT Sandbox от Positive Technologies и межсетевой экран «Континент 4» от компании «Код Безопасности» прошли технологические испытания на совместимость и теперь могут обеспечивать эшелонированную защиту компаний от сложных киберугроз: шифровальщиков, вайперов, угроз нулевого дня, руткитов, буткитов. Об этом компания Positive Technologies сообщила 20 сентября 2023 года.

По требованию Указа Президента от 30.03.2022 № 166 компании с государственным участием должны до 1 января 2025 года перейти на отечественное ПО, поэтому многие из них активно ищут замену решениям зарубежных вендоров. Для того чтобы обеспечить эффективную защиту российских компаний от сложных киберугроз, необходимо, чтобы решения вендоров качественно и бесшовно интегрировались между собой. Примером такой интеграции стало взаимодействие двух продуктов от вендоров информационной безопасности Positive Technologies и «Кода Безопасности» — PT Sandbox и «Континента 4».

Одна из отличительных особенностей песочницы PT Sandbox заключается в том, что она может подключиться к практически любым источникам файлов: почтовым шлюзам, NTA-системам, файловым хранилищам, межсетевым экранам и к другим информационным системам, — сказал Сергей Осипов, руководитель направления защиты от вредоносного ПО компании Positive Technologies. — Хотелось бы подчеркнуть, что и сотрудничество с "Кодом Безопасности" позволит нам обеспечить максимальную защиту клиентов с минимальным влиянием на бизнес-процессы.

Специалисты компании Positive Technologies протестировали работу PT Sandbox и «Континента 4». Согласно результатам интеграция двух продуктов позволяет реализовать продвинутую степень защиты от целевых атак, сложного вредоносного ПО и угроз APT-группировок.

Устройства класса NGFW являются базовым компонентом обеспечения безопасности ИТ-инфраструктуры. Многоуровневая защита от вредоносного ПО — одна из ключевых задач, стоящих перед NGFW. За счет интеграции "Континента 4" и PT Sandbox обеспечивается не только обнаружение известных угроз, но и защита от целевых атак, использующих ранее неизвестные экземпляры вредоносного ПО, — рассказал Павел Коростелев, руководитель отдела продвижения продуктов «Кода Безопасности».

Совместимость с «Ред ОС»

В рамках технологического партнерства разработчик решений для результативной кибербезопасности Positive Technologies и разработчик системного программного обеспечения «РЕД СОФТ» протестировали программные продукты на совместимость. Согласно результатам теста песочница для защиты от целевых и массовых атак PT Sandbox детектирует вредоносный код в пакетах для установки приложений отечественной операционной системы «РЕД ОС». Об этом 3 августа 2023 года сообщили представители компании «РЕД СОФТ».

Иллюстрация:tssolution.ru

Совместное решение предназначено для работы в государственных ведомствах, субъектах КИИ и других российских организациях для выявления сложных атак с применением вредоносного ПО, специально разработанного под их инфраструктуру.

Опыт расследования атак экспертным центром безопасности Positive Technologies (PT Expert Security Center, PT ESC) показывает, что государственный сектор и объекты КИИ являются одной из самых желанных целей злоумышленников. В связи с переходом отечественных компаний на российское ПО многие организации могут стать особенно уязвимыми для киберугроз, так как не все производители средств защиты информации уделяют должное внимание поддержке российских ОС. Обеспечить полноценную защиту, в том числе от всех видов ВПО, поможет песочница, которая содержит виртуальные среды не только с распространенными Windows-системами, но и с востребованной российскими компаниями операционной системой «РЕД ОС», прокомментировал Сергей Осипов, руководитель направления защиты от вредоносного ПО Positive Technologies.

Специалисты компании Positive Technologies провели тестирование работы операционной системы «РЕД ОС» в виртуальной инфраструктуре решения PT Sandbox. Песочница проводит поведенческий анализ установочных RPM-пакетов, чтобы пользователи могли работать с безопасными файлами.

Обеспечение безопасности в среде операционной системы «РЕД ОС» является для нас приоритетной задачей. С этой целью мы развиваем технологическое партнерство с экспертами рынка в области кибербезопасности и создаем комплексные решения для заказчиков, заинтересованных в переходе на российское программное обеспечение. Благодаря совместной работе пользователи, среди которых органы государственной власти и субъекты КИИ, могут осуществить миграцию ИТ-инфраструктуры в соответствии с требованиями к информационной безопасности и быть уверенными в защите от вредоносных программ и хакерских атак, рассказал заместитель генерального директора «РЕД СОФТ» Рустам Рустамов.

Выпуск PT Sandbox 5.0

Positive Technologies представила 18 апреля 2023 года пятую версию песочницы для защиты от целевых и массовых атак с применением вредоносного ПО — PT Sandbox. Возможности обновленного продукта будут особенно актуальны для российских компаний, уже использующих отечественное ПО или переходящих на него. Среди важных изменений — установка на Astra Linux, а также добавление виртуальных сред с поддержкой российских операционных систем Astra Linux и «РЕД ОС».

За счет поддержки виртуальной среды «РЕД ОС» в PT Sandbox 5.0 расширились возможности имитации реальной инфраструктуры. Кроме того, в песочнице можно воспроизводить операционную систему Astra Linux, среда которой была добавлена в предыдущем релизе. В данной версии продукта специалисты Positive Technologies наполнили эти виртуальные среды кастомизированными приманками, которые помогают обнаружить вредоносные программы, направленные на ОС Astra Linux и «РЕД ОС», и вовремя обнаружить атаки на инфраструктуру компаний. Приманки имитируют файлы и процессы, характерные для государственных организаций. Кроме того, песочница Positive Technologies с помощью поведенческого анализа теперь обнаруживает вредоносный код в установочных пакетах DEB и RPM. Таким образом, PT Sandbox 5.0 позволяет государственным ведомствам, субъектам КИИ и другим отечественным организациям выявлять сложные атаки с применением вредоносного ПО, специально разработанного под их инфраструктуру.

Одним из ключевых изменений песочницы стало снижение требований к аппаратным ресурсам до 30% (по данным результатов тестирования Positive Technologies) и достижение вендоронезависимости, что позволяет компаниям уменьшить затраты на приобретение оборудования. Теперь PT Sandbox можно развернуть на серверах с прошивкой BIOS или UEFI. Кроме того, песочницу Positive Technologies можно установить на российскую операционную систему Astra Linux 1.7, а ранее полученный сертификат соответствия ФСТЭК разрешает использовать ее в государственных информационных системах до первого класса защищенности.

Команда разработки проделала большую работу, чтобы максимально покрыть регуляторные требования, которые организации обязаны соблюдать при переходе на отечественное ПО. Релиз включает обновления, которые позволяют PT Sandbox распознавать вредоносные программы и хакерские инструменты, созданные злоумышленниками специально для атак на российские компании. Такой подход позволяет выстроить более эффективную и персонализированную защиту от актуальных киберугроз, прокомментировал Сергей Осипов, руководитель направления защиты от вредоносного ПО, Positive Technologies.

По результатам пилотных проектов по внедрению PT Sandbox, больше всего вредоносного ПО (49%) было найдено в почтовом трафике. Чтобы не допустить проникновение вредоносных программ в корпоративную сеть, PT Sandbox обезвреживает письма с вредоносным вложением. Если вложение представляет угрозу, то система самостоятельно удаляет прикрепленный файл. Безопасные сообщения при этом приходят без задержек, чтобы работа песочницы не замедляла бизнес-процессы.Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 15.3 т

Также в PT Sandbox появилась автоматическая проверка гиперссылок в электронных письмах. Фишинговые ссылки, переход по которым запускает загрузку вредоносного вложения, — классический элемент целенаправленной атаки на компанию через ее сотрудников. По статистике Positive Technologies, в 2022 году злоумышленники доставляли вредоносное ПО в организации через электронные письма в 42% случаев.

PT Sandbox регулярно получает сведения о обновленных вредоносных программах. Для этого специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) постоянно отслеживают активность хакерских группировок, анализируют актуальные киберугрозы и разрабатывают способы их детектирования, которые затем передают в продукты. Экспертиза позволяет выявлять и предотвращать атаки на ранних этапах.

PT Sandbox практически в 100% случаев обнаруживает общие угрозы с помощью специальных расширений, не требующих непрерывного обновления. Это стало возможным благодаря унификации и оптимизации продвинутых модулей обнаружения. При этом совместно с командой threat intelligence видно, как инструменты атакующих меняются, поэтому создали механизм доставки экспертных пакетов в PT Sandbox в пределах 2,5 часов. Это позволяет закрыть оставшиеся доли угроз, требующих незамедлительной реакции. Важно, что быстрые процессы выпуска экспертных пакетов не оказывают негативного влияния ни на качество обнаружения, ни на производительность продукта, и максимально позволяют защитить клиентов от поступающих угроз, рассказал Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center).

Обновленная версия PT Sandbox содержит обновления, облегчающие работу специалистов по ИБ и ускоряющие реагирование на киберугрозы. Результаты поведенческого анализа потенциально опасных файлов сопоставляются с тактиками и техниками из матрицы MITRE ATT&CK для Linux-систем (песочница также покрывает аналогичную матрицу для операционных систем семейства Windows) — это помогает операторам понять, на какой стадии атаки находятся злоумышленники, и принять превентивные или компенсирующие меры защиты. Чтобы аналитики ИБ имели все необходимые для расследования данные, в частности о том, какой ущерб инфраструктуре мог нанести зловред, PT Sandbox определяет его класс — в карточку объекта добавлено специальное поле с кратким описанием типа вредоносной программы и ее функциями. Важное обновление для компаний, которые используют PT Sandbox для защиты не только корпоративного, но и технологического сегмента. Индустриальная версия песочницы, входящая в состав PT Industrial Cybersecurity Suite, получила образ виртуальной машины для анализа поведения файлов в промышленной ИТ-инфраструктуре. Этот образ воспроизводит рабочую станцию оператора, инженера АСУ ТП и содержит профильные программы Siemens, TRACE MODE, Wonderware.

Кроме того, в PT Sandbox расширена интеграция с другими продуктами Positive Technologies: так, теперь песочница может передавать в MaxPatrol SIEM информацию не только о проверенных файлах, но и о ссылках. Кроме того, из интерфейса PT Sandbox можно в один клик перейти в карточку сессии PT Network Attack Discovery, во время которой был обнаружен и отправлен на анализ подозрительный файл.

2022

Устранение вредоносного ПО

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) выявили вредоносное ПО, которое при проверке, где оно запускается — в виртуальной среде или на реальном компьютере пользователя, было настроено на распознавание старых версий песочницы PT Sandbox. Об этом компания PT сообщила 17 октября 2022 года.

Песочницу PT Sandbox используют компании государственного сектора, кредитно-финансовой сферы, промышленности. В структуре продаж Positive Technologies песочница PT Sandbox демонстрирует высокие темпы роста: по итогам первого полугодия 2022 года они выросли на 22% в сравнении с аналогичным периодом 2021 года.

В начале октября 2022 года специалисты отдела обнаружения вредоносного ПО PT Expert Security Center в ходе ежедневного мониторинга киберугроз встретили файл с актуальным названием Povestka_26-09-2022.wsf. Исследуя его, эксперты выяснили, что образец представляет собой WSF-файл с обфусцированным кодом на JavaScript. Его задача — провести проверки на наличие виртуальных машин, песочниц, а также антивирусных программ и в случае их отсутствия запустить основную полезную нагрузку. Если зловред пропустят установленные в компании средства защиты, злоумышленники получат начальную точку закрепления в инфраструктуре и смогут развить атаку внутри инфраструктуры организации.

Атакующим важно понимать, что они получили доступ к реальной рабочей станции в инфраструктуре компании, а не к изолированной виртуальной среде, предназначенной для анализа поведения исполняемых файлов. Для этого во вредоносное ПО встраивают функции обнаружения и обхода средств защиты и виртуализации. По данным Positive Technologies, чаще всего для выявления сетевых песочниц злоумышленники отправляют WMI-запросы (25% ВПО) либо реализуют иные проверки окружения (33%), а также проверяют список запущенных процессов (19%). Изученная специалистами компании вредоносная программа имеет интересный способ обнаружения виртуальных сред, заточенный конкретно под PT Sandbox.

Это первый известный нам случай попытки уклонения вредоносного ПО от обнаружения PT Sandbox. Зловред ищет специальную папку, которая, по мнению злоумышленников, может косвенно указать на факт выполнения в среде нашей песочницы. Если результат проверки будет положительным, образец завершит работу. Такой сценарий был возможен лишь для старых версий PT Sandbox и на 17 октября 2022 года уже не актуален, — комментирует Александр Тюков, специалист отдела обнаружения ВПО PT Expert Security Center. — PT Sandbox умеет хорошо скрывать свое присутствие, чтобы не дать зловредам преждевременно прекратить свою работу и позволить песочнице собрать как можно больше информации для реагирования на киберугрозу и последующего расследования.

PT Sandbox поддерживает гибкую настройку виртуальных сред с учетом особенностей реальных рабочих станций и учитывает техники обхода песочниц: с каждым релизом продукт пополняется новыми механизмами, позволяющими выявлять среди прочего и проводимую вредоносным ПО разведку. Так, например, PT Sandbox поддерживает технологии обмана (deception-технологии), направленные на создание ловушек для вредоносов. Приманки, имитирующие в виртуальной среде настоящие файлы, процессы или данные, провоцируют вредоносные программы на активные действия и тем самым помогают раскрыть присутствие злоумышленников.

Выпуск PT Sandbox 4.3

27 сентября 2022 года Positive Technologies сообщила о выпуске обновленной версии песочницы для риск-ориентированной защиты — PT Sandbox 4.3. Главное в релизе — добавление кастомизированной среды операционной системы Astra Linux, благодаря которой песочница выявляет атаки с применением специфического вредоносного ПО, заточенного под данную ОС, а также обнаружение другого класса ВПО — буткитов, набирающих известность у злоумышленников. На российском рынке сетевых песочниц защита от подобного рода киберугроз представлена впервые, заявили в Positive Technologies.

PT Sandbox 4.3 получил поддержку ОС Astra Linux — отечественного дистрибутива Linux, на который, согласно сообщениям СМИ, переходят государственные органы, госкорпорации и компании с госучастием. Данная возможность по кастомизации виртуальной среды для анализа поведения файлов позволяет госсектору и отечественным организациям, как уже использующим данный софт, так и планирующим установить его в рамках импортозамещения, выявлять сложные атаки с применением актуального вредоносного ПО, специально заточенного под их инфраструктуру и рабочие станции.

По данным исследований, государственный сектор ежегодно возглавляет рейтинг наиболее часто атакуемых отраслей. Многолетний опыт и экспертиза Positive Technologies показывают, что злоумышленники всегда атакуют через то программное обеспечение, которое используют их потенциальные жертвы. А значит, в ближайшее время можно ожидать появления вредоносного ПО и хакерских инструментов, разработанных под отечественные операционные системы, в частности Astra Linux. Зловреды, нацеленные на эту ОС, имеют совершенно иное поведение, нежели те, что применяются для атак на Windows-системы и хорошо распознаются данной песочницей. Чтобы и в данных условиях обеспечивать безопасность отечественных ведомств и организаций, специалисты написали для PT Sandbox специальные правила, которые детектируют вредоносную активность в Astra Linux и покрывают реальные техники из матрицы MITRE ATT&CK, используемые злоумышленниками для обхода сетевых песочниц, прокомментировал Сергей Осипов, руководитель направления защиты от вредоносного ПО Positive Technologies.

Начиная с версии 4.3 PT Sandbox обнаруживает еще один опасный класс вредоносного ПО — буткиты. Проведенное Positive Technologies исследование этого вида вредоносных программ показало, что буткиты набирают известность: киберпреступники, в том числе APT-группировки, такие как Careto, Winnti (APT41) и FIN1, все чаще используют их в целевых и массовых атаках. Буткиты внедряются до загрузки операционной системы и помогают другим зловредам незаметно закрепиться в ней до запуска. Для их выявления специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) разработали технологию. Специальный плагин bootkitmon в PT Sandbox детектирует буткиты как старого образца (разработанные под BIOS), так и актуальные (ориентированные на прошивку UEFI, например Mosaic Regressor, TrickBoot и FinSpy) на всех этапах их работы.

Регулярное появление уязвимостей в прошивках дает злоумышленникам векторы для атак. Это также подстегивает развитие буткитов, которые помогают атакующим надежно и насколько возможно долго скрываться в инфраструктуре скомпрометированных компаний. В PT Sandbox реализован механизм выявления буткитов не только на начальном этапе инфицирования, но и на стадии перезагрузки ОС, когда уже после загрузки компьютера вредонос начинает действовать. Режим анализа с перезагрузкой системы позволяет пользователям песочницы Positive Technologies продолжить наблюдение за этой стадией и, если буткиту ранее все же удалось незаметно выполнить заражение, получить детальную информацию о его поведении. Это поможет своевременно остановить угрозу, сказал Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО Positive Technologies.

Выпуск PT Sandbox 4.0

28 апреля 2022 года компания Positive Technologies сообщила, что выпустила очередную версию песочницы для защиты от целевых и массовых атак - PT Sandbox 4.0. В обновленном продукте расширены возможности для проактивного поиска угроз - threat hunting, благодаря гибкому поиску и настраиваемым параметрам фильтрации. Кроме того, PT Sandbox теперь поддерживает серверные операционные системы (ОС) Microsoft - Windows Server 2016 и Windows Server 2019. Это позволяет воспроизводить в песочнице соответствующие виртуальные машины и детектировать атаки, направленные на данные типы ОС.

В PT Sandbox 4.0 появился гибкий механизм поиска, который помогает аналитику ИБ искать следы компрометации и проверять гипотезы, выдвинутые в рамках threat hunting. Пользователи песочницы могут создавать сложные запросы для отбора заданий на анализ файлов. Среди возможных критериев - имена и форматы файлов, сетевые индикаторы, хеш-суммы, имена хеш-суммов, адреса отправителей и получателей писем, классы угроз и прочие текстовые подстроки. Это позволяет, например, найти в ретроспективе определенное вредоносное поведение и связать разрозненные, на первый взгляд, инциденты в единую цепочку атаки.

«PT Sandbox поможет выстроить threat hunting компаниям, не имеющим на текущий момент других средств мониторинга, обладающих функциональностью для threat hunting, например, систем анализа трафика. Зная признаки вредоносной программы, атакующей определенную отрасль, тип бизнеса или страну, пользователи песочницы могут настроить повторяющийся уточненный поиск для обнаружения этой киберугрозы», - комментирует Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies.

Для расширения возможностей имитации реальной инфраструктуры компании в PT Sandbox добавлена поддержка Windows Server 2016 и Windows Server 2019.

«Мы расширяем возможности нашей песочницы и теперь воспроизводим в виртуальных средах не только рабочие станции пользователей, но и серверные машины. Это позволяет PT Sandbox детектировать атаки, заточенные под серверные операционные системы», - говорит Ольга Тихонова, менеджер по разработке PT Sandbox.

Сделать работу с PT Sandbox еще удобнее для пользователей позволила актуальная система хранения событий. На конец апреля 2022 года в интерфейсе продукта в режиме реального времени отображается статус выполнения каждого задания и обновляются данные по результатам статического и динамического анализа файлов. Специалист по ИБ еще до завершения сканирования может отслеживать статусы выполнения заданий и совершать их проверку, сверяясь с правилами экспертного центра безопасности Positive Technologies PT Expert Security Center (PT ESC).

2021

Выпуск PT Sandbox 2.4

20 октября 2021 года компания Positive Technologies сообщала, что выпустила очередную версию песочницы для риск-ориентированной защиты PT Sandbox - 2.4. В релизе продукта поддерживается технология проактивного и скрытого детектирования руткитов как на этапе их установки, так и в процессе работы. Разработанный специалистами экспертного центра безопасности PT Expert Security Center плагин позволяет обнаруживать в системе присутствие вредоносного ПО и нелегитимную активность, которые хакеры обычно маскируют с помощью программ, называемых руткитами.

Выявление вредоносного файла со специфическими параметрами срабатывания

Руткиты не допускают обнаружения вредоносной активности средствами защиты и несут в себе угрозу, поскольку, как правило, входят в состав многофункционального вредоносного ПО. Из-за сложности разработки зловреды чаще всего используют группировки, обладающие достаточной технической квалификацией или финансовыми возможностями. С их помощью они маскируют получение удаленного доступа к скомпрометированным узлам, перехват сетевого трафика, шпионаж за пользователями, похищение сведений для аутентификации или проведение DDoS-атак. Согласно проведенному Positive Technologies исследованию руткитов, используемых киберпреступниками за последние 10 лет, в пятерку атакуемых отраслей входят госсектор (44%), наука и образование (38%), телеком (25%), промышленность (19%) и финсектор (19%).

Пятерка самых атакуемых отраслей (доля руткитов)

«Незаметность и эффективность - параметры, которые выделяют разработанную нами технологию обнаружения руткитов среди других. Существующие методы противодействия основаны на том, чтобы запустить антируткитовое средство внутри ОС. Если руткит сделан качественно и уже установлен в ОС, выявить зловред таким способом в общем случае невозможно - он блокирует любую возможность самообнаружения. Главная особенность технологии Positive Technologies состоит в том, что она находится за пределами ОС, то есть работает безагентно. Это позволяет PT Sandox детектировать руткиты не только на стадии установки, когда злоумышленники выполняют ряд вредоносных или как минимум подозрительных действий, но еще и после заражения системы. Этот подход пока не имеет аналогов на российском рынке сетевых песочниц», - говорит Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies.

Важно отметить, что при безагентном анализе руткиты не могут воспрепятствовать своему обнаружению. Помимо этого, данная технология позволяет песочнице Positive Technologies оставаться незамеченной вредоносным ПО.

«Существуют классические подходы сигнатурного и поведенческого анализа, с помощью которых обнаруживаются уже известные семейства руткитов и их установщиков. Благодаря проактивному методу защиты PT Sandbox выявляет угрозу в тот момент, когда она уже совершает свои опасные действия на уровне ядра ОС. Кроме того, в отличие от аналогичных решений, наша песочница не препятствует работе руткита: его установка и функционирование проходят без вмешательств, а в ходе проверок на наличие средств защиты она не обнаруживается. Таким образом у злоумышленников не возникает подозрения, что их раскрыли», - добавляет Павел Максютин, специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies.

Опция проактивного и незаметного обнаружения руткитов доступна пользователям PT Sandbox 2.4 и последующих версий. Действующим пользователям, чтобы воспользоваться данной функцией, необходимо обновить продукт до версии 2.4.

PT Sandbox - песочница для защиты от целевых и массовых атак с применением неизвестного вредоносного ПО. Она поддерживает гибкую настройку виртуальных сред в соответствии с реальными рабочими станциями и защищена от техник обхода песочниц. Продукт обеспечивает комплексный анализ файлов и трафика, включая шифрованный, а также выявляет скрытые и актуальные угрозы с помощью регулярного ретроспективного анализа.

PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies (PT Network Attack Discovery, PT Application Firewall, MaxPatrol SIEM) и обогащает их сведениями об угрозах, связанных с вредоносным ПО.

Добавление приманок-провокаторов в PT Sandbox 2.2

В последней версии PT Sandbox появились приманки-провокаторы, помогающие раскрыть злоумышленников. Об этом 14 апреля 2021 года сообщила компания Positive Technologies.

Песочница теперь поддерживает технологии обмана (deception-технологии), направленные на создание ловушек для вредоносного ПО. Приманки, имитирующие в изолированной виртуальной среде настоящие файлы, процессы или данные, провоцируют вредоносное ПО на взаимодействие и тем самым помогают выявить присутствие хакеров в инфраструктуре.

Ключевым изменением в PT Sandbox 2.2 стали приманки, которые могут спровоцировать инструменты взломщика на то, чтобы проявить себя. В частности, это файлы-приманки, содержащие поддельные учетные записи пользователей, файлы конфигурации или другую конфиденциальную информацию, потенциально интересную атакующему. При попытке кражи таких данных PT Sandbox оперативно выявит угрозу. Примерно так же действуют и процессы-приманки: они имитируют работу банковских приложений, ПО разработчиков или обычную пользовательскую активность, и продукт выявляет попытки злоумышленников вмешаться в них.

Эффективность песочницы зависит, с одной стороны, от способности оставаться незамеченной для вредоносного ПО, а с другой — от среды, которая должна быть максимально похожа на привычное окружение пользователя, — говорит Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Зловреды чаще всего ищут интересные им файлы, работающие процессы, изменения в буфере обмена. Злоумышленникам это нужно для кражи конфиденциальной информации, а в песочницах используется как своеобразный триггер. Если в системе мало процессов, нет нужных файлов и прочих признаков работы пользователя, то ВПО просто не будет ничего делать, посчитав систему неинтересной. Развивая deception-технологии в нашей песочнице, мы побуждаем вредоносные программы к активным действиям и тем самым помогаем своевременно их выявлять, улучшая качество защиты.

Также технологии обмана в PT Sandbox 2.2 реализованы в поддельных, но корректных по формату приватных данных: например, пароли или номера карт помещаются в виде приманки в буфер обмена пользователя, который так любят перехватывать трояны-шпионы.

Компания должна выстраивать защиту исходя из того, какие риски считает наиболее приоритетными, — комментирует Ксения Кириллова, менеджер по продуктовому маркетингу Positive Technologies. — Ключевой набор приманок, который наши эксперты сформировали, исследуя деятельность хакерских группировок, доступен нашим заказчикам «из коробки». Однако при необходимости мы можем добавить в PT Sandbox дополнительные приманки по запросу клиента. Это сделает защиту более персонализированной и позволит компании нивелировать угрозы, направленные на системы, которые критически важны для конкретного бизнеса.

Для более точной имитации работы пользователя в виртуальные среды PT Sandbox были добавлены дополнительные программы: видеоплеер, оптимизатор системы, платформа для видеосвязи, эмуляторы промежуточного кода. Также теперь продукт покрывает еще больше существующих уязвимостей в офисных и других приложениях — этого удалось достичь благодаря расширению числа версий ПО, установленного в песочнице.

2020

Включение в единый реестр российского ПО

Продукт PT Sandbox внесен в единый реестр российского ПО. Об этом 3 февраля 2021 года сообщила компания Positive Technologies.

В соответствии с приказом Минкомсвязи РФ от 31 декабря 2020 года продукт включен в класс ПО, к которому относятся средства обеспечения информационной безопасности предприятия.

Система PT Sandbox предназначена для защиты от целевых и массовых атак с применением неизвестного вредоносного ПО и угроз нулевого дня. Продукт позволяет обнаружить все основные векторы проникновения вредоносных файлов в сеть организации: выявляет угрозы в электронной почте, проверяет документы в файловых хранилищах, а также анализирует файлы, загружаемые на корпоративные сайты и скачиваемые из интернета.

Продукты, внесенные в реестр, рекомендованы к закупке госструктурами и компаниями с существенной долей государственного участия.

По нашим данным, госучреждения давно являются наиболее популярной целью атакующих, а вредоносное ПО применяется в 56% всех атак, — комментирует Ксения Кириллова, менеджер по продуктовому маркетингу Positive Technologies. — PT Sandbox выявляет угрозы в том числе с помощью знаний, полученных нашими экспертами в ходе исследования деятельности хакерских группировок, активно проявляющих себя на территории РФ и СНГ. Продукт с подобной экспертизой действительно актуален для заказчиков из государственного сектора.

Ранее песочница PT Sandbox вместе с другими продуктами Positive Technologies получила обновление, позволяющее обнаруживать использование пентестерских инструментов FireEye, похищенных хакерами.

Возможность получения еженедельных обновлений базы правил для поведенческого анализа файлов

Песочница PT Sandbox получила расширенные возможности по выявлению целевых атак. Об этом Positive Technologies сообщила 15 октября 2020 года.

Песочница PT Sandbox теперь получает еженедельные обновления базы правил для поведенческого анализа файлов. Эти правила, создаваемые специалистами PT Expert Security Center (PT ESC) в рамках исследования угроз информационной безопасности (threat intelligence) и по итогам расследований инцидентов, позволят эффективнее выявлять наиболее актуальные для российского рынка риски.

Каждое обновление будет содержать правила для выявления техник атакующих или семейств вредоносного программного обеспечения. Это позволит оперативно реагировать на действия злоумышленников, которые часто меняют методы, тактики и инструментарий для реализации атак.

Одна из наиболее сильных сторон PT Sandbox — применение экспертных знаний для обнаружения угроз, — комментирует Ксения Кириллова, менеджер по продуктовому маркетингу Positive Technologies. — Специалисты PT Expert Security Center постоянно отслеживают активность основных хакерских группировок, действующих на территории России и стран СНГ, и расследуют инциденты в крупных компаниях. Получаемые ими данные об угрозах регулярно передаются в продукт. Это знания, которые максимально релевантны для российского рынка и способны помочь нашим клиентам предотвращать как массовые, так и сложные целевые атаки.

Обновление экспертных правил от PT ESC доступно всем пользователям PT Sandbox и выполняется автоматически.

Представление PT Sandbox

16 марта 2020 года Positive Technologies представила песочницу для выявления целевых и массовых атак с применением вредоносного ПО.

Песочница позволяет моделировать точные профили рабочих станций пользователей — вплоть до версии операционной системы и браузера. Это дает возможность в защищенной виртуальной среде обнаружить вредоносное ПО, которое написано под определенное окружение и не проявляет себя в другом (например, в ходе целевой атаки).

Злоумышленники постоянно развивают вредоносное ПО так, чтобы антивирусы, межсетевые экраны, IPS и шлюзы его не видели. Подобное ВПО можно обнаружить только в песочнице. Но большинство представленных на рынке песочниц предлагают виртуальные среды с типовым набором софта, часто неактуальным. Например, в песочнице установлен только Internet Explorer, а пользователь выходит в интернет через Google Chrome. Вредоносный файл, который срабатывает только при наличии Google Chrome, в такой песочнице не "детонирует". Важно даже совпадение версий ПО, рассказывает руководитель направления по развитию бизнеса Positive Technologies Алексей Данилин

Механизм гибкой кастомизации в PT Sandbox позволяет решить подобные проблемы. Система дает возможность быстро создавать набор виртуальных сред, с учетом различий в наборах софта, например, у бухгалтера и разработчика.

Атакующие используют различные способы обхода песочниц. Например, вредоносное ПО распознает нахождение в специальной среде (по отсутствию движений мыши, физического CPU) и не проявляет свою зловредную активность. По данным Positive Technologies, ВПО 40% APT-группировок осуществляют подобную проверку в ходе целевых атак. PT Sandbox избегает обнаружения более 20 техниками и заставляет запускаться зловред, который пытается скрыться.

Еще до открытия подозрительного файла в среде песочницы PT Sandbox осуществляет префильтеринг с помощью нескольких предустановленных антивирусов. Это позволяет снизить нагрузку на песочницу и ускоряет проверку файлов, даже при высокой нагрузке. Кроме того, PT Sandbox обладает механизмом ретроспективного анализа и перепроверяет файлы после обновления баз знаний. По умолчанию файл перепроверяется со свежими базами, если с последнего сканирования прошло больше 24 часов, однако периодичность пользователь может настроить самостоятельно. Так, если еще вчера файл не казался подозрительным, хотя и содержал в себе элементы ранее нигде не выявленного — вредоносного кода, то с обновлением сигнатур PT Sandbox сразу же сообщит об этом пользователю.

Благодаря тому, что песочница анализирует не только сам объект, но и создаваемые им в процессе проверки трафик и файлы, можно отследить вредоносную активность, внешне не связанную с самим вредоносным ПО. Песочница может выявлять угрозы даже в шифрованном трафике.

PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies — PT Network Attack Discovery, PT Application Firewall, MaxPatrol SIEM — и обогащает их знаниями об угрозах, связанных с вредоносным ПО.