Dr.Web FixIt! — новый облачный сервис для удаленной диагностики инцидентов от компании «Доктор Веб».
В отличие от продуктов, предназначенных для обнаружения уже известных (или похожих на известные) вредоносных программ с помощью вирусных баз, Dr.Web FixIt! позволяет выявлять новейшие вредоносные программы, а также программы, используемые для целевых атак и не выявляемые никакими иными инструментами. При этом он не требует установки и не вступает в конфликт с антивирусами, установленными на ПК.
Задачи, которые решает Dr.Web FixIt!
- Анализ компьютера после известного случая заражения вредоносным ПО с последующим лечением.
- Анализ компьютера при подозрении на вирусную активность.
- Поиск следов вредоносной активности после заражения.
- Устранение последствий заражения различным вредоносным ПО.
- Сбор данных при расследовании целевых атак на информационные системы.
- Поиск нарушений правил и политик ИБ компании.
- Выяснение причины произошедших заражений и других инцидентов ИБ.
Как работает Dr.Web FixIt!
Решение состоит из:
- системы сбора данных,
- аналитической части с созданием и применением фильтров нужных категорий данных,
- программных модулей для выяснения причин и лечения инцидентов в системе пользователя.
Сервис генерирует диагностическую утилиту FixIt! для выявления следов присутствия вредоносных программ и на основе собранного ей отчета проводит диагностику.
Диагностическая утилита собирает данные, исследуя:
- установленные программы и обновления;
- запущенные и запускаемые процессы;
- подозрительные записи в реестре и их связи с другими объектами;
- установленные драйверы и расширения браузеров;
- модули, загруженные в процессы;
- системные журналы (которые содержат много полезной информации о том, что про-исходило на компьютере, а в ряде случаев — и о том, как на этот компьютер проник злоумышленник;
- сектора диска, в том числе скрытые буткитами (для этого используется уникальный модуль, который позволяет обходить все известные буткиты и считывать настоящие сектора диска, как бы их не прятали);
- информацию об аппаратном обеспечении (bios, процессор, память, диски, сетевые кар-ты и т.д.);
- разобранную на файлы UEFI прошивку современных компьютеров (вся прошивка в виде файлов попадает в отчет для анализа в ней имплантов);
- информацию о файлах с детектами антивируса, которые попадают на анализ при сборе на станции;
- объекты автозагрузки в различных подсистемах (реестр, WMI, планировщик задач);
- установленные службы;
- сетевые соединения всех процессов в системе;
- установленные обновления ОС и не установленные, но доступные для загрузки обновления ОС;
- информацию о скрытом внутри процессов исполняемом коде;
- информацию о т.н. Hollowed тактиках скрытия кода в процессах;
- информацию об уровне аппаратной защиты и ОС от всемирно известных уязвимостей Meltdown/Spectre;
- данные об удаленных сессиях пользователя (RDP) с информацией о том, с какого IP и ка-кой клиент подключился.
Собранные данные анализируются с помощью набора предустановленных фильтров, подготовленных аналитиками компании «Доктор Веб», либо с помощью собственных фильтров, заданных оператором.
В случае выявления вредоносного ПО создается лечащая утилита FixIt!, которая устраняет последствия заражения. Затем система может быть исследована снова — столько раз, сколько нужно для полного устранения всех последствий инцидента.
Целевая аудитория Dr.Web FixIt!
- Команды ИБ-специалистов, ответственные за мониторинг безопасности и реагирование на инциденты (SOC центры).
- Компании, предполагающие, что в их сетях происходит или уже произошел инцидент, у которых отсутствуют SOC-подразделение или специалисты по антивирусной безопасности для выявления остаточных следов вирусного заражения и выработки мер, кото-рые не допустят подобных инцидентов в будущем.
- Компании, к веб-сервисам которых подключаются клиенты или партнеры, заинтересованные в том, чтобы онлайн-взаимодействие с клиентами происходило с незараженных устройств.
- Компании, которые специализируются на ремонте компьютерных устройств и устранении вирусных заражений.
- Компании, которые специализируются на расследованиях инцидентов.
Лицензирование Dr.Web FixIt!
Сервис лицензируется по числу задач (задача — это совокупность действий по сбору и анализу данных, а также иных действий по команде пользователя на одном ПК или сервере, включая виртуальные).
Приобрести Dr.Web FixIt! можно пакетами по 1, 10, 20, 50 или 100 задач. Срок лицензии Dr.Web FixIt! — 1 год.
Работа с задачами осуществляется через личный кабинет пользователя Dr.Web FixIt!, доступ к которому предоставляется после активации серийного номера.
Связанные с сервисом услуги
Специалисты компании «Доктор Веб» могут:
- проанализировать данные, полученные с помощью Dr.Web FixIt!,
- помочь устранить последствия заражения,
- определить потенциальные масштабы ущерба на основе анализа обнаруженных вредоносных файлов,
- предложить меры по минимизации потерь и исключению повторения компьютерных атак.
Чтобы воспользоваться этой услугой, нужно приобрести сертификат на экспертное сопровождение. Он дает право на получение сопровождения одной задачи. При этом срок действия сертификата не ограничен.
Источник: securitylab