Dr.Web FixIt! — новый облачный сервис для удаленной диагностики инцидентов от компании «Доктор Веб».

В отличие от продуктов, предназначенных для обнаружения уже известных (или похожих на известные) вредоносных программ с помощью вирусных баз, Dr.Web FixIt! позволяет выявлять новейшие вредоносные программы, а также программы, используемые для целевых атак и не выявляемые никакими иными инструментами. При этом он не требует установки и не вступает в конфликт с антивирусами, установленными на ПК.

Задачи, которые решает Dr.Web FixIt!

  • Анализ компьютера после известного случая заражения вредоносным ПО с последующим лечением.
  • Анализ компьютера при подозрении на вирусную активность.
  • Поиск следов вредоносной активности после заражения.
  • Устранение последствий заражения различным вредоносным ПО.
  • Сбор данных при расследовании целевых атак на информационные системы.
  • Поиск нарушений правил и политик ИБ компании.
  • Выяснение причины произошедших заражений и других инцидентов ИБ.

Как работает Dr.Web FixIt!

Решение состоит из:

  • системы сбора данных,
  • аналитической части с созданием и применением фильтров нужных категорий данных,
  • программных модулей для выяснения причин и лечения инцидентов в системе пользователя.

Сервис генерирует диагностическую утилиту FixIt! для выявления следов присутствия вредоносных программ и на основе собранного ей отчета проводит диагностику.

Диагностическая утилита собирает данные, исследуя:

  • установленные программы и обновления;
  • запущенные и запускаемые процессы;
  • подозрительные записи в реестре и их связи с другими объектами;
  • установленные драйверы и расширения браузеров;
  • модули, загруженные в процессы;
  • системные журналы (которые содержат много полезной информации о том, что про-исходило на компьютере, а в ряде случаев — и о том, как на этот компьютер проник злоумышленник;
  • сектора диска, в том числе скрытые буткитами (для этого используется уникальный модуль, который позволяет обходить все известные буткиты и считывать настоящие сектора диска, как бы их не прятали);
  • информацию об аппаратном обеспечении (bios, процессор, память, диски, сетевые кар-ты и т.д.);
  • разобранную на файлы UEFI прошивку современных компьютеров (вся прошивка в виде файлов попадает в отчет для анализа в ней имплантов);
  • информацию о файлах с детектами антивируса, которые попадают на анализ при сборе на станции;
  • объекты автозагрузки в различных подсистемах (реестр, WMI, планировщик задач);
  • установленные службы;
  • сетевые соединения всех процессов в системе;
  • установленные обновления ОС и не установленные, но доступные для загрузки обновления ОС;
  • информацию о скрытом внутри процессов исполняемом коде;
  • информацию о т.н. Hollowed тактиках скрытия кода в процессах;
  • информацию об уровне аппаратной защиты и ОС от всемирно известных уязвимостей Meltdown/Spectre;
  • данные об удаленных сессиях пользователя (RDP) с информацией о том, с какого IP и ка-кой клиент подключился.

Собранные данные анализируются с помощью набора предустановленных фильтров, подготовленных аналитиками компании «Доктор Веб», либо с помощью собственных фильтров, заданных оператором.

В случае выявления вредоносного ПО создается лечащая утилита FixIt!, которая устраняет последствия заражения. Затем система может быть исследована снова — столько раз, сколько нужно для полного устранения всех последствий инцидента.

Целевая аудитория Dr.Web FixIt!

  • Команды ИБ-специалистов, ответственные за мониторинг безопасности и реагирование на инциденты (SOC центры).
  • Компании, предполагающие, что в их сетях происходит или уже произошел инцидент, у которых отсутствуют SOC-подразделение или специалисты по антивирусной безопасности для выявления остаточных следов вирусного заражения и выработки мер, кото-рые не допустят подобных инцидентов в будущем.
  • Компании, к веб-сервисам которых подключаются клиенты или партнеры, заинтересованные в том, чтобы онлайн-взаимодействие с клиентами происходило с незараженных устройств.
  • Компании, которые специализируются на ремонте компьютерных устройств и устранении вирусных заражений.
  • Компании, которые специализируются на расследованиях инцидентов.
  • Лицензирование Dr.Web FixIt!

Сервис лицензируется по числу задач (задача — это совокупность действий по сбору и анализу данных, а также иных действий по команде пользователя на одном ПК или сервере, включая виртуальные).

Приобрести Dr.Web FixIt! можно пакетами по 1, 10, 20, 50 или 100 задач. Срок лицензии Dr.Web FixIt! — 1 год.

Работа с задачами осуществляется через личный кабинет пользователя Dr.Web FixIt!, доступ к которому предоставляется после активации серийного номера.

Связанные с сервисом услуги

Специалисты компании «Доктор Веб» могут:

  • проанализировать данные, полученные с помощью Dr.Web FixIt!,
  • помочь устранить последствия заражения,
  • определить потенциальные масштабы ущерба на основе анализа обнаруженных вредоносных файлов,
  • предложить меры по минимизации потерь и исключению повторения компьютерных атак.

Чтобы воспользоваться этой услугой, нужно приобрести сертификат на экспертное сопровождение. Он дает право на получение сопровождения одной задачи. При этом срок действия сертификата не ограничен.

Источник: securitylab