Пара кликов по вредоносному файлу или ссылке может стоить компании миллионы. Произойти это может где угодно: вредоносное ПО скрывается во входящих письмах, его передают через мессенджеры, скачивают с сайтов, копируют со сторонних носителей.
Одно из простых решений: использовать для проверки публичные инструменты — «песочницы», они помогают оценить степень угрозы загружаемых файлов, писем и ссылок.
Обратная сторона онлайн-песочниц — риск утечки конфиденциальной информации.
Ваши данные в чужих руках: возможные сценарии
- Злоумышленники используют публично доступные отчеты в своих целях: отслеживают загрузку своих инструментов и корректируют методы, если атака была обнаружена.
- Атакующие или конкуренты могут заполучить персональные данные либо служебную информацию из загружаемых файлов.
- Жертва атаки несет репутационные риски, потому что ее смогли идентифицировать по артефактам в загруженных файлах (по IP-адресам, именам пользователей и другим данным).
В ходе исследования одной онлайн-песочницы специалисты F6 обнаружили списки с данными работников различных предприятий. Вероятно, они были загружены кем-то из ответственных лиц.
Пример такого списка:
Возможные последствия — штраф за утечку персональных данных, в некоторых случаях — уголовное наказание. При повторных нарушениях штрафы могут составлять до 3% от оборота компании.
Чтобы чувствительные данные не попали в руки киберпреступников, стоит использовать sandbox от доверенных ИБ-вендоров.
Например — F6 Malware Detonation Platform. Решение анализирует потенциально опасные ссылки и файлы с разными расширениями (более 300 форматов) из корпоративной почты, сетевого трафика, рабочих станций. Обнаруживает ВПО под Windows, Linux, а также под Android.
Получить бесплатный гайд по sandbox →
F6 MDP обнаруживает опасность даже тогда, когда злоумышленники пытаются обойти песочницу. Как именно — рассмотрим на трех сценариях: 1, 2, 3.
Сценарий обхода 1. Вредоносное ПО под конкретную инфраструктуру
ВПО старается распознать, находится ли оно в инфраструктуре компании или в sandbox. Если злоумышленники смогут детектировать песочницу, это даст им возможность обойти проверку.
Поэтому в F6 MDP среда максимально приближена к реальной.
Сценарий обхода 2. Зашифрованный архив с файлом-приманкой
Пример: на почту компании может прийти письмо с договором в архиве, пароль указан в сообщении.
Файловую «матрешку» способно «разобрать» MDP. Оно найдет пароль и проанализирует содержимое архива. В том числе вредоносный исполнительный файл, который запускается в фоновом режиме.
Сценарий обхода 3. Вредоносное ПО «спрятано» в файле
Злоумышленники могут добавить в PDF-приманку (якобы важный документ):
- вредоносную ссылку;
- QR-код, который ведет к скачиванию опасного ПО.
F6 MDP защитит и в этом случае: проанализирует ссылки и QR-коды внутри файлов.
F6 Malware Detonation Platform дает полный контекст
Решение помогает не просто убедиться во вредоносности объекта, но и изучить поведение ВПО с помощью графа процессов.
Примеры отчетов MDP и боевые кейсы →
Также решение позволяет изучить приемы и тактики злоумышленников на основе данных от киберразведки и понять, какая группировка может быть причастна к атаке.
Прокачанная песочница — залог того, что вредоносное ПО не проникнет в ИТ-инфраструктуру, а злоумышленники не смогут навредить вашему бизнесу.
Листая дальше, вы перейдете к решению F6 MDP — оставьте заявку и получите бесплатный пилот!