Video: Apex One EDR Demo – Credential Dumping (T1003) (Oktober 2024)
I dag på RSA-konferansen i San Francisco kunngjorde Trend Micro nye verktøy for å oppdage kommando- og kontrollservere i den siste oppgraderingen til deres enterprise-grade Custom Defense-programvare. Men også oss lave forbrukere bør ta hjertet, fordi hvert nytt angrep kan gjøre oss alle litt mer sikre.
Custom Defense, som opprinnelig ble kunngjort i oktober i fjor, tilbyr unike verktøy for å identifisere skadelig programvare basert på hvite og svarte lister, samt muligheten til å finne ut om ny programvare er en trussel ved å analysere den i et sandkasset miljø. I dag har Trend Micro lagt til kommando- og kontrolldeteksjon (C&C) til denne allerede formidable beskyttelsessuiten.
Et sentralt aspekt ved Custom Defense er at den deler det den lærer med andre brukere gjennom selskapets Smart Protection Network. La oss si at Acme-selskapet oppdager noe nytt skadelig programvare med Custom Defense. Etter hvert blir analysen av skadelig programvare tilgjengelig for andre brukere av Custom Defense, så vel som de som bruker Trend Micros programvare for forbrukerklasse, som Trend Micro Titanium Maximum Security Premium Edition.
Som Trend Mikros direktør for produktmarkedsføring Kevin Faulkner forklarte, skyldes dette at selskapets omdømmetjenester og Smart Protection Network er tilkoblet, inkludert de nylig tilførte C & C-verktøyene. Kort fortalt lar den Trend Micro utnytte nye angrep mot angriperne.
"Dette er konseptet med et skybasert beskyttelsessystem, " sa Faulkner. "Vi bruker våre egne evner til å skanne internett, men vi kan lære av kunder, og alt vi lærer fra kunder, presser vi ut til andre kunder - foretak eller forbruker."
Selvfølgelig kan det hende at noen av Custom Defense-brukerne ikke vil dele informasjon om målrettede angrep. "Hver kunde har rett til ikke å involvere seg i Smart Protection Network, " sa Faulkner.
Selv om C & C generelt er assosiert med massive botnett, er de også nøkkelen til noen av de mest nøye konstruerte angrepene, eller det som kalles "avanserte vedvarende trusler."
"Disse angrepene er vanligvis eksternt orkestrert via C & C-kommunikasjon mellom de infiltrerte systemene og angriperne selv, " sa Trend Micro i en pressemelding. Vanligvis vil malware ringe tilbake til disse serverne for ytterligere nedlastinger eller instruksjoner, og kan brukes av angripere for å få tilgang til det infiserte systemet. Forsiktige lesere vil blant annet huske kampanjen Red October som å dra nytte av disse teknikkene.
Trafikken for C & C-servere i vedvarende angrep er svært lav (sammenlignet med botnett) og ofte vanskelig å finne. Angripere endrer og omdirigerer adresser, bruker legitime nettsteder og konfigurerer til og med C & C-servere i et selskaps nettverk. "Vi vet hva de klassiske angrepsmønstrene er, " sa Faulkner. "Hvis dette mønsteret forekommer på Facebook, på Twitter, kan vi finne det."
Mens komplekse angrep mot store selskaper og myndigheter med enorme butikker med personlig informasjon er godt publisert, sa Faulkner at de ikke er de eneste som blir angrepet. "De store gutta får overskriftene, men disse angrepene skjer overalt, " sa Faulkner, og siterer sykehus og universiteter blant Trend Mikro-kunder. Ved å dele informasjon mellom alle nivåer, kan forbrukere som deg og meg faktisk unngå de verste angrepene når sikkerhetsselskaper plukker dem fra hverandre.
Sørg for å holde deg oppdatert om flere av innleggene våre fra RSA!
