Veramine — новий security-продукт від колишніх фахівців MSRC

Команда відомих security-спеціалістів, які раніше працювали в Microsoft Security Response Center і причетних до розробки EMET, оприлюднила інформацію про свій новий продукт для Windows під назвою Veramine. Він представляє з себе рішення для безпеки на основі хмари і спеціалізується на дослідженні аномалій в роботу системи з метою виявлення різних типів атак і шкідливих дій, включаючи, атаки типу pass-the-hash, експлуатація LPE-експлойтів, впровадження шкідливого коду в процеси та ін



Veramine спеціалізується на вивченні поведінки цільової системи з використанням клієнта, який відправляє інформацію про що відбуваються в системі події на сервер, після чого серверна частина вибудовує логіку роботи системи і намагається виявити там аномалії на основі використовуваних правил. Відбуваються в системі дії та можливі аномалії користувач може побачити через веб-інтерфейс при підключенні до свого облікового запису на сервері.

Платна версія Veramine відрізняється від безкоштовної присутністю більшої кількості правил і методів виявлення шкідливої активності.


Рис. Виявлення LPE-експлойта по поведінці.

Клієнтська частина Veramine збирає вичерпну інформацію про дії та операції, що відбуваються в системі, а потім відправляє їх на віддалений сервер, де вони аналізуються. З отриманої інформації система формує попередження для користувача, а також допомагає йому отримати інформацію про наступні дії.

  • В системі запускається процес, командний рядок якого збігається з певною рядком.
  • Працює в системі процес встановлює вихідні мережеві підключення за певного домену або IP-адресою.
  • Працює в системі процес завантажує в пам'ять виконуваний файл з певним хешем MD5.
  • В системі запускаються процеси виконуваних файлів без вбудованої підтримки DEP & ASLR.
  • В системі запускається на виконання файл цифрового підпису, але з підвищеними привілеями.
  • В системі функціонує процес, який відправляє більше 10МБ мережевого трафіку.
  • У системі працює процес, який здійснює запис даних у визначені розташування в системному реєстрі.
  • За певний період часу в системі запускаються процеси від облікового запису скомпрометованого користувача.
  • Процес powershell запустив на виконання за останні 24 години файли без цифрового підпису.
Veramine позиціонується як продукт, який не споживає багато системних ресурсів і процесорного часу.
Continuous monitoring without compromising overall system performance. The Veramine sensor is aggressively optimized to minimize system overhead. After an initial enumeration period, the sensor consumes < 1% CPU.

Рис. Повідомлення Veramine про відомого інструменті для pass-the-hash атак mimikatz.

Інструмент збирає інформацію про такі події в системі:

  • активність процесів;
  • активність мережевих підключень;
  • операції з входами в систему;
  • операції з системним реєстром;
  • операції з віддаленими файлами;
  • операції по протоколу SMB;
  • зміни в конфігурації сервісів;
  • зміни в стані привілеїв процесів;
  • операції з дампингу паролів;
Клієнтська частина Veramine складається з драйвера, який спеціалізується на зборі подій системи, і додатка користувальницького режиму, яке приймає зібрану драйвером інформацію, та передає її на сервер. Клієнтська частина працює з сервером за одним вихідним TCP/IP підключення на порт з номером 443. Вся інформація передається на сервер у вигляді безперервного потоку по захищеного SSL-з'єднання.

Veramine спеціалізується на виявленні наступних типів атак.

  • Експлуатація LPE-вразливостей для отримання максимальних прав SYSTEM в системі.
  • Дампинг паролів і даних облікових записів, наприклад, з використанням інструменту mimikatz.
  • Незвичайні операції з процесами та віддалене створення потоків, наприклад, відома від metasploit техніка атак «migrate».
  • Завантаження користувачем з інтернету або пошти шкідливих файлів і запуск їх на виконання.
Інструмент не вимагає яких-небудь оновлення сигнатур для своєї роботи.
...the Veramine detection system requires no signature updates. Detection is performed against a set of known-malicious behavior, not specific attributes of known malicious software files. For this reason, the Veramine sensor happily coexists alongside existing traditional anti-malware products. The anti-malware product may detect known malicious software that does not meet Veramine's detection criteria and the Veramine system will detect malicious behavior exhibited by any software, regardless of whether it is included in the anti-malware product's signature database.
FAQ: veramine.com/faq.html
Отримати безкоштовну версію продукту можна на веб-сайті: veramine.com
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.