Flash news

PT Sandbox ora rileva i rootkit anche dopo l’infezione del sistema

Positive Technologies ha rilasciato una nuova versione della sandbox di protezione orientata al rischio PT Sandbox – 2.4.

La nuova versione del prodotto supporta la tecnologia di rilevamento proattivo e nascosto dei rootkit, che non ha analoghi nel mercato russo dei sandbox di rete, sia nella fase della loro installazione che durante il funzionamento. Sviluppato da esperti del PT Expert Security Center, il plug-in consente di rilevare la presenza di malware e attività illegali sul sistema, che gli hacker solitamente mascherano utilizzando programmi chiamati rootkit.

I rootkit impediscono il rilevamento di attività dannose mediante protezione e rappresentano una minaccia, poiché, di norma, fanno parte di malware multifunzionale. A causa della complessità dello sviluppo, il malware viene spesso utilizzato da gruppi con qualifiche tecniche o capacità finanziarie sufficienti. Con il loro aiuto, mascherano l’accesso remoto a host compromessi, intercettando il traffico di rete, spiando gli utenti, rubando informazioni di autenticazione o effettuando attacchi DDoS. Secondo uno studio su larga scala di Positive Technologies sui rootkit utilizzati dai criminali informatici negli ultimi 10 anni, i primi cinque settori più attaccati sono il settore pubblico (44%), la scienza e l’istruzione (38%), le telecomunicazioni (25%), l’industria (19%) e il settore finanziario (19%).

“Stealth ed efficienza sono i parametri che distinguono la nostra tecnologia di rilevamento dei rootkit dalle altre. Le attuali contromisure si basano sull’esecuzione di uno strumento anti-rootkit all’interno del sistema operativo. Se un rootkit è realizzato con alta qualità ed è già installato nel sistema operativo, è generalmente impossibile rilevare malware in questo modo – blocca con successo qualsiasi possibilità di auto- rilevamento – afferma Alexey Vishnyakov, capo del dipartimento di rilevamento malware presso il Centro di esperti di sicurezza di Positive Technologies. – La caratteristica principale della tecnologia di Positive Technologies è che è al di fuori del sistema operativo, cioè funziona senza un agente. Ciò consente a PT Sandox di rilevare i rootkit non solo nella fase di installazione, quando gli aggressori eseguono una serie di azioni dannose o almeno sospette, ma anche dopo che il sistema è stato infettato. Questo approccio non ha ancora analoghi nel mercato russo dei sandbox in rete”.

È importante notare che nell’analisi senza agente, i rootkit non possono interferire con il loro rilevamento. Inoltre, questa tecnologia consente alla sandbox di Positive Technologies di non essere rilevata dal malware.

“Esistono approcci classici di analisi delle firme e del comportamento, che vengono utilizzati per rilevare le famiglie già note di rootkit e i loro programmi di installazione. Grazie al metodo di protezione proattiva, PT Sandbox rileva una minaccia nel momento in cui esegue già le sue azioni pericolose a livello di kernel del sistema operativo, – aggiunge Pavel Maksyutin, specialista nel dipartimento di rilevamento malware del centro di esperti di sicurezza di Positive Technologies. – Inoltre, a differenza di soluzioni simili, la nostra sandbox non interferisce con il funzionamento del rootkit: la sua installazione e funzionamento vengono eseguiti senza intervento e durante i controlli per la presenza di mezzi di protezione non viene rilevato. Pertanto, gli aggressori non hanno il sospetto di essere stati scoperti”.

L’opzione di rilevamento dei rootkit proattivo e invisibile è disponibile per gli utenti delle versioni nuove e future di PT Sandbox. Gli utenti esistenti devono eseguire l’aggiornamento alla versione 2.4 per utilizzare questa funzione.

PT Sandbox è una sandbox per la protezione da attacchi mirati e massicci che utilizzano malware sconosciuti. Supporta la configurazione flessibile di ambienti virtuali in conformità con le workstation reali ed è protetto in modo affidabile dalle tecniche di bypass sandbox. Il prodotto fornisce un’analisi completa di file e traffico, inclusi quelli crittografati, e identifica anche le minacce latenti ed emergenti utilizzando una regolare analisi retrospettiva.

PT Sandbox si integra con altri prodotti di Positive Technologies (PT Network Attack DiscoveryPT Application FirewallMaxPatrol SIEM) e li arricchisce con informazioni sulle minacce malware.