Отправить заявку

Для уточнения цены и количества товара заполните, пожалуйста, данную форму. При необходимости прикрепите файл

Файл заявки
*
- поле, обязательное для заполнения
Защита от автоматического заполнения  
Подтвердите, что вы не робот*

«Лаборатория Касперского» впервые обнаружила случаи хранения вредоносного кода в журналах событий Windows

Содержание

    Эксперты «Лаборатории Касперского» обнаружили необычную вредоносную кампанию. В ней для хранения вредоносного ПО используются журналы событий Windows. Более того, атакующие применяют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянцев последней ступени.

    Ранее эксперты компании не видели технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка сразу несколькими троянцами для удалённого управления заражёнными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий троянцев таких команд десятки.

    «Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас очень заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу MITRE», — комментирует Денис Легезо, ведущий эксперт по ;кибербезопасности «Лаборатории Касперского».

    Для защиты от бесфайлового ПО и схожих угроз компания рекомендует:

    • установить эффективное защитное решение, такое как Kaspersky Endpoin Security Cloud; в нём есть компонент, который позволяет детектировать аномалии в поведении файлов и выявлять бесфайловое вредоносное ПО;
    • использовать EDR-решение и продукт для борьбы со сложными целевыми атаками, а также обеспечить сотрудникам центра мониторинга (SOC) доступ к самой свежей аналитике и регулярно повышать их квалификацию с помощью профессиональных тренингов. Эти возможности доступны в рамках пакета Kaspersky Expert Security;
    • применять решения для защиты конечных устройств и специализированные сервисы, которые помогут защититься от наиболее продвинутых атак. Сервис Kaspersky Managed Detection and Response позволяет распознать и остановить атаку на ранних стадиях, до того как злоумышленники достигнут своих целей.

    Более подробно о вредоносной кампании с использованием журналов событий Windows читайте по ссылке: https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/.

    Источник: сайт "Kaspersky.".

    Опубликовано 5 мая 2022

    Оцените материал!

    (1 голос, в среднем: 4 из 5)

    Отзывы (0)

    Добавить отзыв

    Наиболее интересные материалы

    «Высокий сезон» открывает ASUS

    За месяц до новогодних праздников начался сезон распродаж. В 2015 году он открылся поступлением на рынок моноблока ASUS Zen AiO Pro. Компьютерная техника впервые была продемонстрирована в сентябре на берлинской выставке IFA.

    «Боцман» 3.2: версия, в которой ИБ видит всё, а разработчики работают быстрее

    «Боцман» 3.2 делает контейнерную платформу одновременно прозрачнее для служб ИБ и удобнее для инженеров. Обновление расширяет аудит событий, включая SSO, упрощает диагностику за счёт работы с несколькими терминалами и поддерживает параллельные сессии. В результате команды получают больше контроля над доступом и тратят меньше времени на отладку и сопровождение.

    Компания Спектрасофт совместно с IT-дистрибьютором Treolan провели воркшоп
    Компания Спектрасофт совместно с IT-дистрибьютором Treolan провели воркшоп по настройке базовой инфраструктуры в облачной платформе Microsoft Azure
    Компания МойОфис, объявила о выпуске сертифицированной почтовой системы "Mailion. Сертифицированный".

    Компания МойОфис выпустила новую версию почтовой системы "Сертифицированный", которая предназначена для обеспечения безопасности информации в крупных коммерческих и государственных организациях.

    Добавить комментарий