Az online biztonság sosem állandó állapot, a kiberbűnözők folyamatosan új, kifinomultabb módszereket fejlesztenek ki. Az egyik ilyen újonnan felbukkant fenyegetés a CyberEYE nevű távoli hozzáférésű trójai (RAT), amely nemrég keltett aggodalmat a biztonsági közösségben. Mivel cégünk a Heimdal Security megoldások forgalmazója, és ügyfeleink biztonsága a legfontosabb számunkra, azonnal megkerestük a Heimdal support csapatát, hogy megtudjuk, hogyan érinti ez az új fenyegetés a Heimdal védelmi képességeit, különös tekintettel arra, hogy megoldásaink a Windows Defenderre is építenek.
A CyberEYE főbb jellemzői:
A CyberEYE egy .NET-alapú, moduláris rosszindulatú szoftver, amely a Telegramot használja parancs- és vezérlési (C2) infrastruktúrájaként. Különösen aggasztó, hogy képes letiltani a Windows Defendert, valamint fejlett PowerShell és rendszerleíró adatbázis (registry) manipulációkat alkalmaz a perzisztencia és a kikerülés érdekében.
1. A Windows Defender letiltásának kezelése:
Aggodalmunkra, miszerint a CyberEYE letiltja a Windows Defendert, a Heimdal egyértelmű választ adott:
- A Heimdal XTP (eXtended Threat Protection) képes észlelni, ha a Windows Defendert valami más próbálja letiltani, mint maga a Heimdal. Ez kulcsfontosságú, hiszen így a Heimdal rendszere azonnal riasztást ad, és reagálni tud, ha egy rosszindulatú folyamat megpróbálja aláásni az alapvető védelmet.
2. Védelem a Telegram C2 és a fejlett manipulációk ellen:
A CyberEYE kifinomult kommunikációs és perzisztencia módszerei komoly kihívást jelentenek. A Heimdal azonban több rétegű védelemmel reagál:
- DarkLayer Guard™ (DNS biztonság): Mivel a Telegram-alapú C2 gyakran támaszkodik domainfeloldásra a kommunikációhoz, a DarkLayer Guard képes DNS-szinten elfogni és blokkolni ezeket a rosszindulatú kapcsolatokat. Ez azt jelenti, hogy még mielőtt a kártékony szoftver egyáltalán kommunikálni tudna a parancsnoki szerverével, a Heimdal már leállítja.
- Threat to Process Correlation (TTPC): Ez a funkció segít azonosítani azokat a specifikus folyamatokat, amelyek rosszindulatú C2 infrastruktúrához próbálnak csatlakozni. Így nem csak a kommunikációt blokkolja, hanem a forrást is segít beazonosítani.
- Next-Gen Antivirus (NGAV) XTP-vel: A Heimdal új generációs antivírusa az XTP-vel együttműködve képes észlelni és blokkolni azokat a fájlokat, amelyek C2 kapcsolatokat próbálnak létesíteni, valamint azokat is, amelyek fejlett PowerShell vagy registry manipulációt alkalmaznak a perzisztencia és a kikerülés érdekében. Ez a réteg a fájlszintű védelemért felelős, megakadályozva, hogy a rosszindulatú kód egyáltalán el tudjon indulni és kárt tegyen.
3. Folyamatos fejlődés a védelemben:
A kiberbiztonsági fenyegetések állandóan változnak, ezért elengedhetetlen a folyamatos alkalmazkodás. A Heimdal szakértői megerősítették, hogy:
- Folyamatosan fejlesztik stratégiáikat és észlelési technikáikat annak érdekében, hogy biztosítsák a védelmet a kifinomult fenyegetések ellen. Ez azt jelenti, hogy a Heimdal nem csak a jelenlegi fenyegetésekre, hanem a jövőbeli támadásokra is felkészül.
Mit jelent ez az Ön számára?
A Heimdal Security segíthet a védekezésben. Megoldásaik nem csupán a hagyományos vírusok elleni védelemre koncentrálnak, hanem aktívan reagálnak az olyan modern fenyegetésekre is, mint a CyberEYE, amelyek kifinomult technikákat alkalmaznak az észlelés elkerülésére és az alapvető rendszervédelem aláásására. A rétegzett védelem (DNS, folyamatfigyelés, NGAV) biztosítja, hogy a Heimdal képes legyen azonosítani és semlegesíteni ezeket a komplex támadásokat, még akkor is, ha megpróbálják letiltani a Windows Defendert.
Amennyiben további kérdései vannak arról, hogy a Heimdal Security hogyan védelmezi az Ön szervezetét a legújabb kiberfenyegetésekkel szemben, forduljon hozzánk bizalommal!
