В число подопечных СёрчИнформ FileAuditor добавили MS Exchange

В число подопечных СёрчИнформ FileAuditor добавили MS Exchange

В число подопечных СёрчИнформ FileAuditor добавили MS Exchange

Ноябрьское обновление «СёрчИнформ FileAuditor» расширило спектр возможностей DCAP-системы: теперь она также позволяет контролировать корпоративную почту на уровне сервера MS Exchange.

В рамках новой функциональности FileAuditor напрямую подключается к почтовому серверу и проводит контентный анализ всех писем, вложений и черновиков в состоянии покоя — даже тех, что созданы удаленно. При обнаружении конфиденциальных данных DCAP-система информирует об этом безопасников.

Реализация предусматривает возможность выбора объектов контроля: отдельные почтовые ящики, почта группы пользователей, все ящики корпоративного домена. При использовании в связке с DLP-системой «СёрчИнформ КИБ» можно организовать блокировку нежелательной почты по меткам FileAuditor.

«Контроль почты — базовая задача внутренней ИБ, — комментирует руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. — Ранее реализовать ее силами DCAP было невозможно, хотя почтовый сервер — то же хранилище данных. Благодаря FileAuditor служба ИБ видит сразу, какой информацией обмениваются в компании: система анализирует содержимое каждого письма и помечает в зависимости от категории контента».

Кстати, маркировку, облегчающую выявление потенциальных угроз в компаниях, с прошлого года выполняет также «СёрчИнформ КИБ». К снимкам экрана автоматически добавляются водяные знаки, по которым можно установить виновника в случае утечки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Windows-троян I2PRAT умело скрывает свое общение с C2-сервером

Эксперты G DATA опубликовали результаты анализа трояна удаленного доступа, которого от собратьев отличает использование анонимной сети I2P для C2-коммуникаций. Поскольку подобная маскировка большая редкость, находке было присвоено имя I2PRAT.

Как выяснилось, заточенный под Windows вредонос активен в интернете как минимум с марта этого года. Для его доставки может использоваться загрузчик PrivateLoader.

Атака начинается со спам-письма с вредоносной ссылкой. При переходе открывается фейковая страница с CAPTCHA и встроенным JavaScript — последнее время этот способ заражения набирает популярность.

 

В результате отработки скрипта в систему загружается лоадер. При активации он определяет, с какими привилегиями запущен процесс; если их недостаточно, уровень повышается до админа с использованием PoC-обхода UAC, разработанного в 2019 году участником Google Project Zero.

Вредонос также пытается нейтрализовать Microsoft Defender — отключить основные функции, заблокировать телеметрию и апдейты.

Инсталлятор RAT грузится в папку временных файлов и запускается на исполнение. Под компоненты трояна создается скрытая директория.

Основной модуль, main.exe, прописывается в системе как сервис. При активации он проверяет наличие обновлений в своей папке и приступает к загрузке плагинов (DLL) и запуску с помощью unit_init.

Два таких компонента отвечают за C2-связь. Один из них представляет собой I2PD, опенсорсный вариант клиента I2P, написанный на C++.

Остальные плагины используются для загрузки и эксфильтрации файлов, обеспечения поддержки RDP (в Windows Home, например, она отсутствует), добавления и удаления пользовательских аккаунтов и групп, диспетчеризации событий, создания запланированных задач.

Из последних обнаружены две: coomgr.exe ворует учетки из Google Chrome, sesctl.exe завершает сеансы указанных пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru