Отчет о результатах двухнедельного тестирования системы защиты FireEye

17.05.2021 248

1 февраля 2015

Компания ITbiz предоставила на тест, международной компании со штатом 1 300 сотрудников,  систему FireEye для защиты от АРТ-атак и атак нулевого дня. Отчет о результатах двухнедельного тестирования:

1. Определены 20 хостов для исследования и чистки: испытуемые системы FireEye выявили обратные вызовы 20 хостов, подтверждающие активные зловреды, которые ранее не были ни заблокированными, ни устранены существующими решениями безопасности.

2. 8 из 20 вредоносных программ, обнаруженных FireEye, не были опознаны другими  производителями антивирусов по VirusTotal: VirusTotal установлен на 55 антивирусных сканнерах различных производителей.

FireEye

Ключевые выводы отчета об угрозах корпоративной безопасности:

1. два хоста (88.хх.хх.хх и 66.хх.хх.хх) открыли соединения, связанные с APT-атаками:

— характеристики 18 соединений, установленных с IP адреса 88.хх.хх.хх свидетельствуют о присутствии атаки «Backdoor.APT.Kaba»  более детально

— хост 66.хх.хх.хх успешно установил соединение с сервером CNC, собранные FireEye доказательства свидетельствуют о заражении с помощью «Backdoor.APT.Evince» более детально

— подобные APT-атаки нацелены на высокотехнологичные компании и довольно часто используются киберпреступниками из стран Юго-Восточной Азии (Китай,Таиланд, Индонезия);

— в обоих случаях обмен данными между инфицированным хостом и сервером CNC был зашифрован. Цель —  свести к минимуму возможность обнаружения хищения данных с помощью системы предотвращения утечки инормации.

2. 117 хостов зафиксированы, как связанных с инцидентами информационной безопасности:

— детали экспертизы доступны для кураторов компании.

3. 20 клиентских устройств компании подтвердили  44 «отстука»:

— активный обмен информацией и попытки открыть соединения между устройствами и контролируемых серверами злоумышлеников ;

— риск воровства данных.

4. обнаружены 32 новых попытки внешнего инфицирования:

— 1% — на основе попутных загрузок и веб-брешей;

— 12% на основе анализа загруженных файлов ;

— 88% на основе локально созданных сигнатур FireEye (в основном вида Exploit.Kit).

5. Определены 26 различных семейств (типов) вредоносных программ:

— четкое определение разрозненных событий в течение определенного отрезка времени.

6. 3 DNS запроса от 2 хостов известных как вредоносные домены:

— указанные вредоносные домены перестали функционировать.

Компания «ITbiz» является официальным партнером FireEye на территории Украины, обеспечивает  поставку  и полное обслуживание данного оборудования.

Компания «ITbiz» — системный интегратор специализированных решений в области информационных технологий, успешно работает на рынке Украины с 2007 года. Веб-сайт компании: www.itbiz.ua