Структурированная информация о целевых атаках: отчеты Dr.Web vxCube объединены с матрицей MITRE ATT&CK.
Все новости | Новости о продуктах Dr.Web | Новости об обновлениях
Данное обновление дает специалистам возможность не просто видеть технический отчет о действиях потенциально вредоносного объекта, но и фиксировать цепочку действий: как объект проник в систему и заразил ее. На основе этой информации станет понятно, где стоит «укрепить» защиту и изменить политики безопасности. Более того, на основе обнаруженных техник и тактик можно создать специальные правила для добавления в SOC и SIEM-системы.
Для наглядности предлагаем разобрать один из отчетов, полученных после проведения анализа известного шифровальщика в новой версии Dr.Web vxCube:
Тактика: Initial Access («первоначальный доступ»)
Техника: Replication Through Removable Media («распространение через съемные носители»)
Источником заражения выступил съемный носитель, на который злоумышленник загрузил вредоносную программу. Возможно, сотрудник использовал личную зараженную USB-флешку.Тактика: Execution («выполнение»)
Техника: Windows Management Instrumentation (WMI) («Инструментарий управления Windows (WMI)»)
Как только флешка вставлена в компьютер, срабатывает механизм автозапуска (например, через autorun.inf). Шифровальщик использует системный инструмент WMI для выполнения своей основной нагрузки. Это помогает ему избежать простых антивирусов, так как WMI — легальный инструмент администрирования.- Тактики: Persistence & Privilege Escalation («закрепление и повышение привилегий»)
Техника: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder («автозапуск при загрузке или входе в систему: ключи запуска в реестре / папка автозагрузки»)
Чтобы пережить перезагрузку компьютера и получить контроль при следующем входе пользователя в систему, шифровальщик прописывает себя в автозагрузку. Он создает запись в реестре или копирует себя в папку «Автозагрузка». Зачастую этот шаг также позволяет ему повысить привилегии до уровня текущего пользователя. Тактика: Defense Evasion («обход защиты»)
Техника: Indicator Removal: File Deletion («удаление индикаторов: удаление файлов»)
После того как шифровальщик закрепился в системе, он начинает «заметать следы». Он удаляет свой оригинальный исполняемый файл с флешки или из временной папки, чтобы усложнить обнаружение и анализ антивирусным экспертам.- Тактика: Lateral Movement («перемещение внутри периметра»)
Техника: Replication Through Removable Media («распространение через съемные носители»)
Вредоносная программа не прекращает свою деятельность на одном компьютере. Она мониторит подключение новых USB-накопителей и заражает их. Теперь, когда сотрудник возьмет свою рабочую флешку и вставит ее в другой компьютер, атака повторится. Так вирус «перепрыгивает» через воздушные зазоры (air-gaps) внутри сети. - Тактика: Impact («воздействие»)
Техники: Inhibit System Recovery и Data Encrypted for Impact («Препятствование восстановлению системы и шифрование данных»)
Inhibit System Recovery («препятствование восстановлению системы»): шифровальщик пытается уничтожить или зашифровать теневое копирование Volume Shadow Copy Service (VSS), чтобы жертва не могла восстановить файлы стандартными средствами Windows.
Data Encrypted for Impact («шифрование данных»): программа шифрует все важные файлы на компьютере (документы, фото, базы данных) с помощью мощного алгоритма. После этого на экране появляется сообщение с требованием выкупа за ключ дешифрования.
На основе этого специалист по информационной безопасности может предпринять следующие меры, чтобы предотвратить заражения схожими вредоносными программами:
- Ужесточить политики использования USB-устройств (запрет автозапуска, применение только корпоративных флешек с шифрованием).
- Настроить системы мониторинга на обнаружение подозрительных записей в реестре автозагрузки и использование WMI для выполнения вредоносных скриптов.
- Внедрить сегментацию сети, чтобы ограничить распространение угрозы.
- Обеспечить регулярное и защищенное резервное копирование данных для возможности восстановления.
Новшество доступно как в облачной, так и в локальной (on-premise) версиях Dr.Web vxCube, распространяется на исследования в средах ОС Windows и Linux и доступно только на английском языке. Разработчики «Доктор Веб» планируют добавить анализ в среде ОС Android, а также перевести базы знаний и техник, чтобы упростить работу с матрицей.
Помимо этого, обновлена документация к песочнице. В связи с выходом новой версии, облачная версия Dr.Web vxCube будет недоступна 23 октября в период с 13:00 до 14:00 по московскому времени.
Для обновления локальной версии потребуется загрузить новые версии дистрибутива Dr.Web vxCube и образов виртуальных машин, а также переустановить ПО согласно документации. Для загрузки обновленной версии воспользуйтесь Мастером скачивания.
Dr.Web vxCube — инструмент для анализа подозрительных объектов в изолированной виртуальной среде. Он позволяет выявлять индикаторы компрометации и предотвращать атаки, включая целевые (APT). Песочница доступна в двух вариантах: облачном и локальном (on-premise).
Чтобы получить демодоступ к облачной версии Dr.Web vxCube, воспользуйтесь специальной веб-формой.
Приобрести решение можно у партнеров «Доктор Веб».
Данное обновление содержит базу знаний из MITRE ATT&CK®. Использование этой базы знаний осуществляется на основании лицензии предоставленной The MITRE Corporation.
© 2025 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.
Условия использования MITRE ATT&CK® расположены: https://attack.mitre.org/resources/legal-and-branding/terms-of-use/.