25 мая 2023 года
Все эти годы популярность Dr.Web vxCube росла, а вместе с ней росли и потребности рынка. Отвечая этим потребностям, мы постоянно работали — и продолжаем работать — над улучшением «песочницы». Прежде чем говорить о последних новшествах, напомним о том, что представляет собой этот продукт.
Что такое Dr.Web vxCube
Принцип работы Dr.Web vxCube таков: пользователь загружает необходимый объект на виртуальную машину, имитирующую реальную систему — Windows или Android (а теперь и Linux), — где тот подвергается тщательному и при этом быстрому автоматическому анализу. Исследование не только происходит на глазах у пользователя, но и является интерактивным: можно подключиться к виртуальной машине и влиять на процесс анализа. Результатом проверки становится оценка вредоносности объекта и подробный отчет, в том числе и в видеоформате. В случае с Windows при выявлении угрозы формируется специальная сборка лечащей утилиты Dr.Web CureIt!, предназначенная именно для этой ситуации.
Уникальная особенность Dr.Web vxCube — в том, что все перечисленное выше происходит совершенно незаметно для анализируемых объектов: файл с вредоносным кодом, загруженный в «песочницу», не узнает, что его подвергают исследованию, и не сможет затаиться. Разработчики Dr.Web vxCube применили более 370 методик противодействия обнаружению анализа. Файл «думает», что запущен в естественной среде — и ведет себя так же естественно. В свою очередь, по поведению исследуемой вредоносной программы, по ее характерным особенностям, отраженным в детальном отчете, пользователь Dr.Web vxCube может многое узнать не только о самой угрозе, но и о том, кто за ней стоит и что именно могло произойти в случае успешной атаки на реальную, а не виртуальную систему.
Немного истории
«У наших разработчиков появилась идея создать интерактивную облачную платформу для проверки файлов (если совсем коротко — песочницу) c возможностью лечения. Эффективная песочница должна тщательно маскироваться под реальную систему, предоставлять полноценный отчет о работе вредоносной программы и обладать быстродействием. При создании Dr.Web vxCube разработчики учитывали каждый из этих критериев. Плюс к этому была поставлена цель сделать такую песочницу, которую вредоносным программам было бы очень трудно выявить», — рассказывает начальник структурного подразделения разработки и исследований «Доктор Веб» Сергей Комаров.
«У наших разработчиков появилась идея создать интерактивную облачную платформу для проверки файлов (если совсем коротко — песочницу) c возможностью лечения. Эффективная песочница должна тщательно маскироваться под реальную систему, предоставлять полноценный отчет о работе вредоносной программы и обладать быстродействием. При создании Dr.Web vxCube разработчики учитывали каждый из этих критериев. Плюс к этому была поставлена цель сделать такую песочницу, которую вредоносным программам было бы очень трудно выявить», — рассказывает начальник структурного подразделения разработки и исследований «Доктор Веб» Сергей Комаров.
7 июня 2018 года мы выпустили первую, облачную версию сервиса. С течением времени мы добавляли новые функции, оптимизировали скорость проверки и параметры отчетов, расширяли спектр проверяемых файлов. В 2020 в анализатор были добавлены YARA-правила, позволяющие увеличить эффективность выявления вредоносного ПО, а также целенаправленно искать и оперативно выявлять определенные типы угроз на основе их характерных особенностей. Позднее появилась возможность работы «песочницы» в связке с другим продуктом Dr.Web, который предназначен для защиты почтовых серверов UNIX. На сегодняшний день опыт применения «песочницы» свидетельствует: Dr.Web vxCube справляется со своими задачами лучше, чем многие конкурирующие решения.
Сейчас Dr.Web vxCube может анализировать следующие типы файлов:
- Исполняемые файлы Windows
- Пакеты Android
- Документы Microsoft Office
- Файлы Acrobat Reader
- Исполняемые файлы Java
- Файлы сценарных языков
- Исполняемые файлы *nix
И ряд других
Локальная версия on-premise
Но на этом продукт не закончил свое развитие, сегодня мы официально выпускаем on-premise версию Dr.Web vxCube, которая позволяет клиентам не загружать файлы в наше облако, а проводить их проверку на своих мощностях. Версия on-premise ничем не уступает своему облачному прототипу и является незаменимым инструментом безопасной проверки файлов внутри локальной сети. Для лечения в случае обнаружения Windows-угроз пользователи on-premise могут воспользоваться утилитой Dr.Web CureIt! из облачной версии.
В наши дни растет потребность в использовании отечественных операционных систем — и Dr.Web vxCube делает широкий шаг навстречу тем, кто в рамках импортозамещения переходит на Astra Linux, сертифицированный ФСТЭК России. В составе обновленного решения появился сервис динамического анализа ELF-файлов, которые запускаются на виртуальной машине с соответствующей архитектурой и разрядностью. Действия файла логирует специальный драйвер, также установленный на виртуальной машине. Для воспроизведения поведения подозрительных объектов доступен стандартный пакет ПО, устанавливаемого на Astra Linux 1.7.3 Воронеж и 2.12 Орел.
Если Dr.Web vxCube развернут на ваших мощностях, в течение срока действия лицензии вам доступна проверка неограниченного количества файлов.
Обращаем внимание, что в версии on-premise компания «Доктор Веб» предоставляет только дистрибутив, который должен быть установлен на серверные мощности клиента.
Спецификации для требуемого оборудования вы можете найти в документации.
Для тестирования нашей облачной версии, пожалуйста, воспользуйтесь формой.
Читать оригинал
