Нет ответов в данной теме

[News Robot]

«Доктор Веб» представляет обновленную версию Dr.Web vxCube. Основное изменение — наложение отчета песочницы на Enterprise-матрицу MITRE ATT&CK, что позволяет объединить результаты анализа с базой знаний о тактиках и техниках атакующих. Результат: более точная оценка вредоносности исследуемых образцов и выстраивание хронологии атаки. Матрица MITRE ATT&CK в формате базы знаний описывает тактики и техники киберпреступников, атакующих информационные системы, — это позволяет специалистам по информационной безопасности получать готовые данные для повышения эффективности защиты инфраструктуры.

Данное обновление дает специалистам возможность не просто видеть технический отчет о действиях потенциально вредоносного объекта, но и фиксировать цепочку действий: как объект проник в систему и заразил ее. На основе этой информации станет понятно, где стоит «укрепить» защиту и изменить политики безопасности. Более того, на основе обнаруженных техник и тактик можно создать специальные правила для добавления в SOC и SIEM-системы.

Для наглядности предлагаем разобрать один из отчетов, полученных после проведения анализа известного шифровальщика в новой версии Dr.Web vxCube:    

1. Фаза: Initial Access (первоначальный доступ)
   Техника: Replication Through Removable Media (распространение через съемные носители) 
   Источником заражения выступил съемный носитель, на который злоумышленник загрузил вредоносную программу.  Возможно, сотрудник использовал личную зараженную USB-флешку.

2. Фаза: Execution (выполнение)
   Техника: Windows Management Instrumentation (WMI)
   Как только флешка вставлена в компьютер, срабатывает механизм автозапуска (например, через autorun.inf). Шифровальщик использует системный инструмент WMI для выполнения своей основной нагрузки. Это помогает ему избежать простых антивирусов, так как WMI — легальный инструмент администрирования.

3. Фаза: Persistence & Privilege Escalation (постоянство и повышение привилегий)
   Техника: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
   Чтобы пережить перезагрузку компьютера и получить контроль при следующем входе пользователя в систему, шифровальщик прописывает себя в автозагрузку. Он создает запись в реестре или копирует себя в папку «Автозагрузка». Зачастую этот шаг также позволяет ему повысить привилегии до уровня текущего пользователя.

4. Фаза: Defense Evasion (уклонение от защиты)
   Техника: Indicator Removal: File Deletion (удаление индикаторов: удаление файлов)
   После того как шифровальщик закрепился в системе, он начинает «заметать следы». Он удаляет свой оригинальный исполняемый файл с флешки или из временной папки, чтобы усложнить обнаружение и анализ антивирусным экспертам.

5. Фаза: Lateral Movement (перемещение по сети)
   Техника: Replication Through Removable Media (распространение через съемные носители)
   Вредоносная программа не прекращает свою деятельность на одном компьютере. Она мониторит подключение новых USB-накопителей и заражает их. Теперь, когда сотрудник возьмет свою рабочую флешку и вставит ее в другой компьютер, атака повторится. Так вирус «перепрыгивает» через воздушные зазоры (air-gaps) внутри сети.

6. Фаза: Impact (воздействие)
   Техника: Inhibit System Recovery и Data Encrypted for Impact
   Inhibit System Recovery: шифровальщик пытается уничтожить или зашифровать теневое копирование Volume Shadow Copy Service (VSS), чтобы жертва не могла восстановить файлы стандартными средствами Windows. 
   Data Encrypted for Impact: программа шифрует все важные файлы на компьютере (документы, фото, базы данных) с помощью мощного алгоритма. После этого на экране появляется сообщение с требованием выкупа за ключ дешифрования.

На основе этого специалист по информационной безопасности может предпринять следующие меры, чтобы предотвратить заражения схожими вредоносными программами:

• Ужесточить политики использования USB-устройств (запрет автозапуска, применение только корпоративных флешек с шифрованием).
• Настроить системы мониторинга на обнаружение подозрительных записей в Registry Run Keys и использование WMI для выполнения вредоносных скриптов.
• Внедрить сегментацию сети, чтобы ограничить распространение угрозы.
• Обеспечить регулярное и защищенное резервное копирование данных для возможности восстановления.

Новшество доступно как в облачной, так и в локальной (on-premise) версиях Dr.Web vxCube, распространяется на исследования в средах ОС Windows и Linux и доступно только на английском языке. Разработчики «Доктор Веб» планируют добавить анализ в среде ОС Android, а также перевести базы знаний и техник, чтобы упростить работу с матрицей. 

Помимо этого, обновлена документация к песочнице. В связи с выходом новой версии, облачная версия Dr.Web vxCube будет недоступна 23 октября в период с 13:00 до 14:00 по московскому времени.

Для обновления локальной версии потребуется загрузить новые версии дистрибутива Dr.Web vxCube и образов виртуальных машин,  а также переустановить ПО согласно документации. Для загрузки обновленной версии воспользуйтесь Мастером скачивания. 

Dr.Web vxCube — инструмент для анализа подозрительных объектов в изолированной виртуальной среде. Он позволяет выявлять индикаторы компрометации и предотвращать атаки, включая целевые (APT). Песочница доступна в двух вариантах: облачном и локальном (on-premise).

Чтобы получить демодоступ к облачной версии Dr.Web vxCube, воспользуйтесь специальной веб-формой.

Приобрести решение можно у партнеров «Доктор Веб».

Данное обновление содержит базу знаний из MITRE ATT&CK®. Использование этой базы знаний осуществляется на основании лицензии предоставленной The MITRE Corporation.

© 2025 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Условия использования MITRE ATT&CK® расположены: https://attack.mitre.org/resources/legal-and-branding/terms-of-use/.

Читать оригинал