Symantec представляет технологию Quorum

Symantec представляет технологию Quorum

Корпорация Symantec (Nasdaq: SYMC) объявила о внедрении в продукты семейства Norton 2010 — Norton Internet Security 2010 и Norton AntiVirus 2010 — революционной технологии Quorum. Она обеспечивает защиту данных на основе оценки репутации. Эффективность данной технологии, позволяющей автоматически распознавать абсолютно новые вредоносные программы, вирусы и сетевые черви, достигается благодаря работе с огромным сообществом пользователей продуктов Symantec.

«С новой технологией изменяются правила борьбы с вредоносным ПО, — считает Стивен Триллинг (Stephen Trilling), старший вице-президент Symantec по технологиям безопасности и защиты. — Благодаря знаниям и опыту десятков миллионов пользователей мы сможем выявлять угрозы, которые традиционные средства обеспечения безопасности не видят». 

Почему в основе новой технологии лежит именно оценка репутации?

Существенные изменения в принципах и структуре угроз, произошедшие за последние несколько лет, полностью преобразили и типичные стратегии распространения новых вредоносных программ.

Сегодня вместо одного штамма вирусов (или другого вредоносного ПО), заражающего миллионы компьютеров, чаще можно видеть миллионы штаммов, каждый из которых старается поразить лишь небольшое число машин. В 2008 году компания Symantec обнаружила более 120 миллионов различных вариаций программ, угрожающих безопасности компьютерных систем. В такой ситуации, чтобы успешно защищаться, просто необходимо выйти за рамки привычных подходов к решению проблем безопасности. 

В основе традиционных антивирусных программ лежат сигнатуры вирусов и практика внесения в «черный список» тех элементов вредоносного ПО, которые должны быть заблокированы на компьютере пользователя. Десять лет назад компания Symantec ежедневно публиковала около пяти новых сигнатур. Сегодня же поставщики средств обеспечения безопасности публикуют тысячи новых сигнатур в день, и это при том, что выявление одной сигнатуры позволяет определить множество различных штаммов.

Новый подход, реализованный в технологии Quorum, дополняет традиционные методы защиты от вредоносного ПО. При классификации файлов как «опасные» или «безопасные» он обращается к опыту многочисленных пользователей. Технология Quorum обеспечивает совершенно новый уровень защиты от самых современных угроз. Около трех лет назад исследовательская лаборатория компании (Symantec Research Labs), приступая к созданию этой технологии, внимательно изучила, как небольшие (с точки зрения частоты применения файлов в системе пользователя) объемы данных, полученные от очень крупного, рассредоточенного по всему миру сообщества, могут помочь определить вероятность вредоносности того или иного файла. После успешного тестирования прототипа проект был передан в подразделение технологий безопасности и защиты (Security Technology and Response — STAR) для разработки полной коммерческой версии и вывода новой технологии на рынок. 

Принципы работы новой технологии

В модуле Quorum, обеспечивающем безопасность на основе репутации, используются данные, полученные из множества различных источников, включая: анонимную информацию, предоставленную десятками миллионов членов сообщества Norton Community Watch, данные издателей ПО, а также анонимные данные от клиентов крупных предприятий, поступающие с помощью специальной программы сбора данных. Информация постоянно импортируется и передается в специальный модуль, определяющий репутационный рейтинг каждого файла, причем сам файл при этом никогда не сканируется. Для точной оценки репутации файла Quorum использует такую информацию о нем, как распространенность, время существования и другие атрибуты. Затем эти рейтинги с помощью масштабной «облачной» инфраструктуры серверов Symantec предоставляются всем пользователям продуктов компании. Более подробно о технологии Quorum можно узнать в блоге Norton Protection Blog.

Каковы преимущества технологии Quorum?

- Предоставление данных обо всех исполняемых файлах. Традиционно компании, обеспечивающие безопасность, в первую очередь располагают инструментами для защиты от вредоносного ПО, о котором их проинформировали либо бдительные пользователи, либо другие исследователи проблем уязвимости информации. Quorum же, напротив, хранит репутационные рейтинги для каждого исполняемого файла, который когда-либо встречали пользователи продуктов Symantec в любой точке мира.

- Интеграция с новым модулем Symantec — Download Insight. Наиболее наглядный способ увидеть систему Quorum в действии при работе в Norton Internet Security 2010 и Norton AntiVirus 2010 — это загрузить из Интернет новый исполняемый файл. Новый модуль Download Insight при определении безопасности любого скачиваемого файла опирается на информацию о его репутации, которую предоставляет система Quorum. Таким образом, пользователя уведомляют о рейтинге этого файла, а файлы, имеющие плохую репутацию, автоматически блокируются. Кроме того, пользователь может щелкнуть правой кнопкой мыши на любой исполняемый файл, чтобы узнать, откуда он появился, сколько других пользователей продуктов Symantec с ним работают, когда компания Symantec впервые обнаружила его и каков его репутационный рейтинг. 

- Снижение уровня зависимости от традиционных сигнатур. Технология Quorum лишает хакеров возможности видоизменять вредоносное ПО таким образом, чтобы обычные средства сканирования на основе сигнатур не могли его обнаружить. Более того, при использовании Quorum, чем интенсивнее нарушитель защиты модифицирует вредоносный файл, тем более очевидной становится его небезопасность. 

- Повышение эффективности существующих технологий защиты от вредоносного ПО. Помимо создания дополнительного уровня защиты, Quorum также позволяет более агрессивно применять другие технологии обеспечения безопасности Symantec, включая эвристику и сканирование поведения приложений. Это повышает общую защищенность пользователей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru