О чем материал
Рассказываем, каких результатов достигла наша антивирусная лаборатория за прошедший год и в развитии каких продуктов Позитива участвует ее команда
В 2025-м среди наших технологий обнаружения появился антивирусный движок. Кроме того, мы сконцентрировали экспертизу противодействия зловредам в новой антивирусной лаборатории, в которую вошли команда сетевой экспертизы, а также специалисты по MaxPatrol EDR и PT Sandbox.
Сейчас лаборатория отвечает за защиту конечных устройств в MaxPatrol Endpoint Security (MaxPatrol EDR + MaxPatrol EPP), а также за технологии и экспертизу PT Sandbox и PT MultiScanner. Кроме того, мы участвуем в создании и развитии PT Email Security (PT Sandbox + PT Email Gateway) и PT X, а еще поставляем антивирусную базу и сетевую экспертизу в PT NGFW, PT ISIM и PT NAD.
Для нас важно не только поддерживать регулярность выпуска обновлений, но и обеспечивать их бесперебойную доставку в продукты. Даже короткие паузы в экспертизе могут сильно повлиять на защиту клиентов — на российском рынке такое случалось ;)
Чего мы достигли за год
| Важность с точки зрения экспертизы | Практический результат | |
| Автоматизировали процесс генерации антивирусных записей | Вручную анализировать весь поступающий поток ВПО попросту невозможно | Обеспечили дневной поток автоматической генерации (до десятков тысяч записей разной степени обобщенности) |
| Разработали набор антивирусных записей для детектирования Linux-образцов ВПО | В контексте импортозамещения потребность в защите Linux-систем продолжает расти | Обеспечили эффективную защиту от ВПО для Linux-платформ |
| Провели аудит безопасности модуля самозащиты MaxPatrol EDR/EPP | Если агент на конечной точке будет скомпрометирован, он уже не сможет никого защитить | Устранили свыше 30 сценариев компрометации СЗИ |
| Провели исследование актуальных шифровальщиков | Изучили более 20 семейств вымогателей | Добавили в MaxPatrol EPP модуль Antiransom для противодействия шифровальщикам и вайперам |
| Исследовали протоколы взаимодействия популярных майнеров с управляющими серверами | Расширили сетевую экспертизу сигнатурами для обнаружения майнеров | Новая экспертиза помогла предотвратить нелегитимное использование вычислительной инфраструктуры у пользователей наших продуктов |
| Вместе с ML-командой внедрили в PT Sandbox новую модель для выявления трафика ВПО | Модель уже участвует в защите наших клиентов | Выявили более 50 угроз, для которых ранее не были созданы классические правила обнаружения |
| Провели исследование техник фишинга | Актуализировали знания о фишинговых фреймворках для реализации экспертизы детектирования | Результаты исследования внедрены в механизм защиты от фишинговых угроз PT Email Security |
| Внедрили в PT NAD облачную систему анализа сработок сетевых сигнатур | Эксперты получили возможность надзора за статистикой срабатывания сигнатур в реальных инфраструктурах пользователей PT NAD | До 10 раз снизили время выявления ложных срабатываний |
| Разработали пакет сетевых сигнатур для детектирования LOLC2-трафика | Если трафик маскируется под взаимодействие с легитимными сервисами, обнаружить канал управления захваченными узлами достаточно сложно | Обеспечили защиту от ряда техник сокрытия трафика удаленного управления |
| Внедрили в PT Sandbox подсистемы углубленного анализа и фильтрации дампов памяти | Нет смысла проверять память, которая не была изменена или принадлежит файлу, легитимность и целостность которого подтверждены криптографическими методами | Снизили затраты памяти и время поведенческого анализа образцов |
| Реализовали для PT Sandbox плагин-перехватчик на уровне ALPC | Это более эффективная технология детектирования: она позволяет связывать поведенческие события на более низком уровне | Обеспечили защиту от целого класса техник неявного создания процессов (например, при помощи WMI) |
| Внедрили механизмы поведенческого анализа Android-приложений в PT Sandbox | Разработали инструмент для автоматизации исследования вредоносных APK | Обеспечили защиту от целого класса угроз — ВПО под Android |
Давайте подробнее остановимся на трех кейсах.
За последний год наша лаборатория обеспечила покрытие продуктами PT ранее не встречавшегося хакерского инструментария, который фигурировал в 39% исследований целевых атак PT ESC.
Исследование шифровальщиков
Актуальность исследования обусловлена огромным ущербом, который шифровальщики наносят компаниям из самых разных отраслей. Поведенческий анализ помогает противостоять подобным угрозам, но только если процесс шифрования уже начался. По сути, это реакция на уже происходящую вредоносную активность.
Наши EDR-эксперты отобрали более 50 семейств шифровальщиков, которые использовались в кибератаках за последние пять лет, сопоставили между собой их активность и внутреннее устройство и отобрали 21 образец с уникальными свойствами. Дальше начался глубокий реверс. На основе выявленных признаков мы подготовили поведенческие портреты для идентификации вредоносов и провели оценку устойчивости детектирующей экспертизы к ложным срабатываниям.
Результаты исследования позволили нам реализовать Antiransom-модуль на уровне пользователя и обеспечить интеграцию с драйверной частью технологии теневого копирования (дает возможность восстановления измененных файлов). Antiransom-модуль уже прошел тестирование и вошел в стартовую комплектацию MaxPatrol EPP.
Внедрение ML-модели для выявления трафика ВПО в PT Sandbox
Мы внедрили в PT Sandbox ML-движок для анализа трафика, сгенерированного исследуемыми образцами. В версии 5.22, опубликованной в начале 2025 г., в продукт были добавлены все функции, необходимые для обеспечения жизненного цикла моделей машинного обучения. С этого же момента наша команда сетевой экспертизы непрерывно отсматривала вердикты ML-движка у пользователей. Мы сопоставляли сработки модели, классического сигнатурного сетевого движка и других детектирующих технологий PT Sandbox. Через полгода кропотливой работы по дообучению модели она показала высокие результаты. За время отладки и тестовой эксплуатации уровень true positive поднялся до 99%. Модель обнаружила около 50 семейств ВПО, которые не были покрыты классическими сетевыми сигнатурами (в нескольких случаях — и другими видами экспертизы). А в конце прошлого года она наконец вышла из бета-режима и встала на защиту наших пользователей.
Внедрение поведенческого анализа Android-приложений в PT Sandbox
Один из наших специалистов практически в одиночку создал прототип решения для поведенческого анализа Android-приложений в песочнице. Поэтапно процесс выглядел следующим образом:
- анализ возможностей конкурентов и сценариев применения песочниц в контексте мобильных приложений;
- выбор базового образа ОС Android для виртуальной машины;
- адаптация имеющихся технологий сбора событий под специфику мобильной платформы и приложений;
- исследование идентифицирующих признаков известных вредоносных приложений;
- формирование пакета экспертизы;
- проверка детектирующей логики на популярных легитимных приложениях для устранения ложных срабатываний;
- разработка полнофункционального прототипа и сопровождение его внедрения в продукт.
В результате эксперты антивирусной лаборатории получили инструмент для автоматизации исследования вредоносных APK, а PT Sandbox обзавелся защитой от целого класса новых угроз.
Статистика роста экспертизы за год:
- +25% антивирусных записей для антивирусного движка PT AV.
- +11% поведенческих правил MaxPatrol EDR.
- +47% сетевых сигнатур (в PT NAD и PT Sandbox).
- +6% YARA-правил.
- +8% поведенческих правил PT Sandbox.
