Geekly Articles each Day

Veramine-元MSRCスペシャリストの新しいセキュリティ製品

以前にMicrosoft Security Response Centerに勤務し、EMETの開発に携わった有名なセキュリティプロフェッショナルのチームが、 Veramineと呼ばれる新しいWindows製品に関する情報を公開しました。 クラウドベースのセキュリティソリューションであり、システム異常の調査を専門としており、パスザハッシュ攻撃、LPEエクスプロイトの悪用、プロセスへの悪意のあるコードの導入など、さまざまなタイプの攻撃や悪意のあるアクションを検出します。 。



Veramineは、システム内のイベントに関する情報をサーバーに送信するクライアントを使用してターゲットシステムの動作を研究することを専門としています。その後、サーバーパーツはシステムのロジックを構築し、使用されるルールに基づいてそこで異常を検出しようとします。 ユーザーは、サーバー上の自分のアカウントに接続するときに、Webインターフェイスを介してシステムで発生するアクションと起こりうる異常を確認できます。

Veramineの有料版は、悪意のあるアクティビティを検出するためのより多くのルールや方法が無料で存在することとは異なります。


図 動作によるLPEエクスプロイトの検出。

Veramineクライアント部分は、システムで発生するアクションと操作に関する包括的な情報を収集し、それらを分析するリモートサーバーに送信します。 受信した情報から、システムはユーザーに警告を生成し、ユーザーが次のアクションに関する情報を取得するのにも役立ちます。


Veramineは、多くのシステムリソースとCPU時間を消費しない製品として位置付けられています。
システム全体のパフォーマンスを損なうことなく継続的に監視します。 Veramineセンサーは、システムのオーバーヘッドを最小限に抑えるために積極的に最適化されています。 最初の列挙期間の後、センサーは1%未満のCPUを消費します。


図 mimikatzのパスザハッシュ攻撃のための有名なツールに関するVeramineからのメッセージ。

このツールは、システム内の次のイベントに関する情報を収集します。


Veramineクライアント部分は、システムイベントの収集に特化したドライバーと、ドライバーによって収集された情報を受信して​​サーバーに転送するユーザーモードアプリケーションで構成されます。 クライアント部分は、ポート番号443への1つの発信TCP / IP接続を介してサーバーと連携します。すべての情報は、安全なTLSチャネルを介した連続ストリームとしてサーバーに送信されます。

Veramineは、次のタイプの攻撃の検出を専門としています。


このツールは、操作に署名の更新を必要としません。
... Veramine検出システムには署名の更新は必要ありません。 検出は、既知の悪意のあるソフトウェアファイルの特定の属性ではなく、既知の悪意のある動作のセットに対して実行されます。 このため、Veramineセンサーは、既存の従来のマルウェア対策製品と共存できます。 マルウェア対策製品は、Veramineの検出基準を満たさない既知の悪意のあるソフトウェアを検出する場合があり、Veramineシステムは、マルウェア対策製品の署名データベースに含まれているかどうかに関係なく、ソフトウェアが示す悪意のある動作を検出します。

FAQ: veramine.com/faq.html
製品の無料版は、Webサイトveramine.comで入手できます。

Source: https://habr.com/ru/post/J307114/

More articles:


All Articles