Видео: Apex One EDR Demo – Service Execution (T1035) (Ноември 2024)
Днес на конференцията на RSA в Сан Франциско, Trend Micro обяви нови инструменти за откриване на командни и контролни сървъри в най-новата надстройка на техния софтуер за защита от потребителски клас. Но и ниско потребителите трябва да приемат сърцето, защото всяка нова атака може да ни направи всички малко по-сигурни.
Първоначално обявена през октомври миналата година, Custom Defense предоставя уникални инструменти за идентифициране на злонамерен софтуер въз основа на бели и черни списъци, както и възможност да се определи дали новият софтуер представлява заплаха чрез анализирането му в пясъчна среда. Днес Trend Micro добави откриване на команда и контрол (C&C) към този вече страхотен пакет за защита.
Ключов аспект на Custom Defense е, че споделя това, което научава с други потребители чрез мрежата на Smart Protection на компанията. Да речем, че компанията Acme открива някои нови злонамерени програми с Custom Defense. В крайна сметка анализът на този злонамерен софтуер става достъпен и за други потребители на Custom Defense, както и за тези, които използват потребителския софтуер на Trend Micro, като Trend Micro Titanium Maximum Security Premium Edition.
Както обясни директорът на Trend Micro за продуктовия маркетинг Кевин Фолкнер, това е така, защото услугите за репутация на компанията и Smart Protection Network са свързани, включително ново добавените C&C инструменти. Накратко, това позволява на Trend Micro да използва нови атаки срещу нападателите.
„Това е концепцията за облачна система за защита“, каза Фолкнер. „Ние използваме собствените си способности за сканиране на интернет, но можем да се учим от клиентите, а всичко, което научим от клиентите, ние изпращаме към други клиенти - предприятия или потребители.“
Разбира се, някои от потребителите на потребителска защита може да не искат да споделят информация за насочени атаки. „Всеки клиент има право да не се включва в мрежата за интелигентна защита“, каза Фолкнер.
Въпреки че C & C обикновено се свързват с масивни ботнети, те също са ключови за някои от най-внимателно конструираните атаки или това, което се нарича „напреднали постоянни заплахи“.
"Тези атаки обикновено се организират дистанционно чрез комуникации на C&C между инфилтрираните системи и самите нападатели", казва Trend Micro в съобщение за пресата. Обикновено зловредният софтуер ще се обади обратно на тези сървъри за допълнителни изтегляния или инструкции и може да бъде използван от нападателите за достъп до заразената система. Внимателните читатели ще припомнят кампанията за Червения октомври, наред с други, като се възползват от тези техники.
Трафикът за C&C сървъри при постоянни атаки е много нисък (в сравнение с ботнетите) и често е трудно да се намери. Нападателите променят и пренасочват адреси, използват законни сайтове и дори настройват C&C сървъри в мрежата на компанията. "Ние знаем какви са класическите модели на атака", каза Фолкнер. "Ако този модел се появи във Facebook, в Twitter, можем да го намерим."
Докато сложните атаки срещу големи компании и правителства с огромни магазини с лична информация са добре публикувани, Фолкнер заяви, че те не са единствените, които са атакувани. "Големите момчета правят заглавия, но тези атаки се случват навсякъде", казва Фолкнер, като цитира болниците и университетите сред клиентите на Trend Micro. Споделяйки информация между всички нива, потребители като вас и мен всъщност могат да избегнат най-лошите атаки, тъй като охранителните компании ги отделят.
Не забравяйте да сте в течение на повече от нашите публикации от RSA!