1 февраля 2015
Компания ITbiz предоставила на тест, международной компании со штатом 1 300 сотрудников, систему FireEye для защиты от АРТ-атак и атак нулевого дня. Отчет о результатах двухнедельного тестирования:
1. Определены 20 хостов для исследования и чистки: испытуемые системы FireEye выявили обратные вызовы 20 хостов, подтверждающие активные зловреды, которые ранее не были ни заблокированными, ни устранены существующими решениями безопасности.
2. 8 из 20 вредоносных программ, обнаруженных FireEye, не были опознаны другими производителями антивирусов по VirusTotal: VirusTotal установлен на 55 антивирусных сканнерах различных производителей.
Ключевые выводы отчета об угрозах корпоративной безопасности:
1. два хоста (88.хх.хх.хх и 66.хх.хх.хх) открыли соединения, связанные с APT-атаками:
— характеристики 18 соединений, установленных с IP адреса 88.хх.хх.хх свидетельствуют о присутствии атаки «Backdoor.APT.Kaba» более детально
— хост 66.хх.хх.хх успешно установил соединение с сервером CNC, собранные FireEye доказательства свидетельствуют о заражении с помощью «Backdoor.APT.Evince» более детально
— подобные APT-атаки нацелены на высокотехнологичные компании и довольно часто используются киберпреступниками из стран Юго-Восточной Азии (Китай,Таиланд, Индонезия);
— в обоих случаях обмен данными между инфицированным хостом и сервером CNC был зашифрован. Цель — свести к минимуму возможность обнаружения хищения данных с помощью системы предотвращения утечки инормации.
2. 117 хостов зафиксированы, как связанных с инцидентами информационной безопасности:
— детали экспертизы доступны для кураторов компании.
3. 20 клиентских устройств компании подтвердили 44 «отстука»:
— активный обмен информацией и попытки открыть соединения между устройствами и контролируемых серверами злоумышлеников ;
— риск воровства данных.
4. обнаружены 32 новых попытки внешнего инфицирования:
— 1% — на основе попутных загрузок и веб-брешей;
— 12% на основе анализа загруженных файлов ;
— 88% на основе локально созданных сигнатур FireEye (в основном вида Exploit.Kit).
5. Определены 26 различных семейств (типов) вредоносных программ:
— четкое определение разрозненных событий в течение определенного отрезка времени.
6. 3 DNS запроса от 2 хостов известных как вредоносные домены:
— указанные вредоносные домены перестали функционировать.
Компания «ITbiz» является официальным партнером FireEye на территории Украины, обеспечивает поставку и полное обслуживание данного оборудования.
Компания «ITbiz» — системный интегратор специализированных решений в области информационных технологий, успешно работает на рынке Украины с 2007 года. Веб-сайт компании: itbiz.ua