Компания Positive Technologies анонсировала новую версию песочницы для риск-ориентированной защиты PT Sandbox. В редакции 2.4 реализована не имеющая, как утверждается, аналогов на российском рынке сетевых песочниц технология проактивного и скрытого детектирования руткитов: такие зловреды могут быть обнаружены не только на этапе установки, но и в процессе работы.
Отмечается, что руткиты препятствуют обнаружению вредоносной активности средствами защиты и несут в себе угрозу, поскольку, как правило, входят в состав многофункционального вредоносного ПО. Зловреды могут применяться, например, для маскировки несанкционированного доступа к скомпрометированным узлам, перехвата сетевого трафика, шпионажа и пр.
В Positive Technologies говорят, что существующие сейчас методы противодействия основаны на том, чтобы запустить антируткитовое средство внутри ОС. Но если руткит сделан качественно и уже установлен в системе, выявить его таким способом в общем случае невозможно.
Решение Positive Technologies работает иначе. PT Sandbox находится за пределами операционной системы, а поэтому может идентифицировать руткиты не только на стадии установки, но и после заражения. «Кроме того, в отличие от аналогичных решений, наша песочница не препятствует работе руткита: его установка и функционирование проходят без вмешательств, а в ходе проверок на наличие средств защиты она не обнаруживается. Таким образом, у злоумышленников не возникает подозрения, что их раскрыли», — заявляет разработчик.
