Integrity Check per i prodotti Kaspersky Endpoint Security

Purtroppo a volte può accadere che alcuni malware danneggino in qualche maniera il funzionamento del software antimalware, in maniera molto fine, in modo da risultare a tutti gli effetti perfettamente funzionante, ma in realtà rendendolo incapace di intercettare alcune minacce.

L’attività Integrity Check per i prodotti Kaspersky Endpoint Security serve a verificare che tutti i moduli del software antimalware siano perfettamente funzionanti e non presentino delle compromissioni.

La creazione del task è similare alla creazione di qualsiasi altra attività:

  1. Si seleziona un gruppo e si apre il tab “Task”
  2. Si preme il pulsante “Create Task”
  3. Si assegna un nome al task che andiamo a creare
    kas_integrity_1
  4. Si seleziona la versione del prodotto Kaspersky da verificare ed il relativo task di Integrity Check
    kas_integrity_2
  5. Si seleziona la frequenza di esecuzione del task
    kas_integrity_3
  6. Si conclude la creazione del Task

Il task di Integrity Check è presente per le versioni del prodotto:

  • Kaspersky Security 10 for Windows Server (Application Integrity Control)
  • Kaspersky Endpoint Security 10 Service Pack1 Maintenance Release 2 for Windows (Integrity Check)
  • Kaspersky Endpoint Security 10 Service Pack1 for Windows (Integrity Check)

Il suggerimento è di aggiornare la propria installazione ad una di queste versioni, ed effettuare periodicamente il controllo, in modo da poter essere tranquilli sulla reale protezione.

argonavislab

Argonavis è partner Kaspersky ed i suoi tecnici hanno conseguito le più importanti certificazioni sui prodotti KasperskyLab, potendo vantare anche la prestigiosa certificazione KSCC (massimo livello di certificazione).

Contattaci ed affida la protezione della tua azienda all’esperienza e competenza di KasperskyLAB ed Argonavis.

Richiedi Informazioni

26 Aprile 2016

LibraESVA contribuisce a limitare il Cryptolocker

Una delle più temute minacce ai sistemi informativi è senza dubbio il Cryptolocker. La cattiva notizia è che una singola soluzione in grado bloccare questa minaccia al momento non esiste.

Si tratta di una minaccia complessa, che esegue una operazione comune e lecita sui file (la crittografia) difficile da individuare perché può essere effettuata per blocchi e se non viene inserito un apposito header nel file è difficile definire il tipo di crittografia effettuata.

Nell’analisi di alcune varianti fra le più popolari (ad esempio Locky) in questo periodo, abbiamo che il malware viene veicolato tramite un messaggio di posta elettronica che non contiene direttamente il malware, ma un file .doc che ha al suo interno una macro capace di scaricare il vero malware ed avviarlo.

Per questa ragione il file ricevuto in allegato non viene considerato malware dal software antivirus, pur mettendo seriamente a rischio la sicurezza aziendale.

Logo_EsvaLibraESVA nella versione 3.7 ha introdotto dei meccanismi più precisi di identificazione di questo tipo di minaccia, in grado di bloccare il file pericoloso, evitando che possa entrare nel perimetro aziendale, anche in assenza del malware vero e proprio.

La difesa da una minaccia temibile come i ransomware non può essere fatta da un singolo elemento, ma da un insieme di elementi che riescono a rendere molto più complesso e costoso un attacco.

argonavislabArgonavis ed i suoi tecnici sono a tua disposizione per effettuare una valutazione dei rischi e proporti le migliori soluzioni possibili per ridurre il rischio di subire un attacco.

Richiedi Informazioni

19 Aprile 2016

Rilasciato LibraESVA 3.7

Il 18 aprile 2016 è stato rilasciato LibraESVA 3.7

Logo_EsvaLa nuova versione include correzione a problemi noti, nuove funzionalità e migliorie a funzionalità esistenti.

Correzioni di bug noti

  • Problema nella visualizzazione dell’Audit Log
  • Problema sui valori di default della sezione Notification and Dangerous Content
  • Problema nella ricerca sulla Quarantena
  • Problema su filtraggio dei risultati della sezione SMTP Rejected con pagine multiple
  • Aggiunto timeout per le connessioni MySQL
  • Problema sull’interfaccia durante il trascinamento delle finestre
  • Problema su Domain Transport maps
  • Problema sul file hosts della macchina
  • Problema su Cluster Outbound Queue Visualization
  • Problema su POP3S Auth in Office365
  • Problema con il link di rilascio per messaggi con più destinatari
  • Problema su Avira e BitDefender AV Output Strings
  • Problema su BCC Content Filtering Action
  • Altri piccoli errori sono stati risolti

Nuove funzionalità

  • Nuove firme rilasciate da Sane Security per l’individuazione dei malware nelle Macro sono state aggiunte
  • Nuovo Plugin di identificazione ha come punteggio standard 5
  • Interfaccia di monitoraggio per ISP
  • Supporto all’autenticazione tramite IMAP
  • Aggiunto log FTP Backup
  • Funzionalità di Import/Export di White/Black Lists per Domain Admins
  • Gestione degli utenti da parte di Domain Admin

Miglioramenti

  • Aggiornato il protocollo SSL
  • Aggiornato Postfix alla versione 3.0.4
  • Aggiornato MailScanner all’ultima versione disponibile
  • Aggiornato Unrar all’ultima versione disponibile
  • Nuovo wizard di prima configurazione
  • Migliorata la visualizzazione delle impostazioni in ambiente multi tenant
  • API amministrative migliorate
  • Migliorate le impostazioni in User Auto-creation

Tutti i clienti LibraESVA sono incoraggiati a procedere all’aggiornamento.

NOTE: Questo aggiornamento può impiegare oltre 5 minuti di tempo per completarsi e richiede il riavvio del sistema al termine.
Prima di installare l’aggiornamento è buona prassi effettuare uno snapshot della macchina virtuale.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-3-6-5-0-to-3-7-0-0-upgrade-script

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Richiedi Informazioni

18 Aprile 2016

Linux.Encoder.1 il primo ransomware per Linux

Nel mese di novembre è stato segnalato Linux.Encoder.1, il primo ransomware per Linux.linux

Quando viene avviato con privilegi di amministrazione, il programma carica in memoria due file che contengono le istruzioni per l’attacco:

  • ./readme.crypto
  • ./index.crypto

Dopo questo il ransomware riceve la chiave pubblica RSA ed avvia il processo di crittografia solo dei file alcune estensioni.

Il malware cerca di colpire le cartelle personali dell’utente, database, webserver e pagine web operando sulle directory:

  • /home
  • /root
  • /var/lib/mysql
  • /var/www
  • /etc/nginx
  • /etc/apache2
  • /var/log
  • public_html
  • www
  • webapp
  • backup
  • .git
  • .svn

Mentre invece non effettua la crittografia delle seguenti directory:

  • /
  • /root/
  • .ssh
  • /usr/bin
  • /bin
  • /etc/ssh

Linux.Encoder.1 usa la crittografia asimmetrica RSA e la crittografia AES a 128 bit, ai file crittografati viene aggiunta l’estensione “.encrypted”

Il malware usa la funzionalità rand() della libreria libc che usa il timestamp come seme per generare le chiavi crittografiche.

Questo dettaglio è stato presto scoperto ed ha reso “prevedibile” la chiave utilizzata per la crittografia, dando l’opportunità ai tool di decodificare il contenuto dei file senza dover “pagare” per riscattare i file.

7 Aprile 2016

Petya Ransomware

Petya è un malware appartenente alla categoria dei ransomware, comparso di recente. Rispetto a tutti gli altri ransomware introduce un elemento di novità, ad essere crittografati non sono delle particolari estensioni di file, ma il Master Boot Record (MBR), ovvero quella porzione di disco dove vengono memorizzate le istruzioni necessarie all’avvio del sistema operativo.

L’infezione fin’ora ha riguardato in particolare gli utenti di lingua tedesca, e si è trasmesso con una mail di spam che non ha file allegato, ma un link ad un file .exe caricato su dropbox.

Il malware per funzionare ha necessità di disporre di diritti amministrativi, una volta che il file è stato scaricato ed eseguito, se non ne dispone li richiede con l’interfaccia User Access Control.

uac

Se l’utente conferma il sistema va in crash, al riavvio viene mostrata una schermata che simula la funzionalità CHKDSK, utilità di windows per la verifica dei problemi sul disco, comportamento coerente in caso di crash improvviso del sistema, purtroppo però non si tratta della vera funzionalità, ma del malware che è a questo punto entrato in funzione e sta crittografando la Master File Table in cui vengono memorizzati gli indici dei file.

Al termine dell’operazione compariranno le schermate che avvertono che il sistema è stato colpito da Petya

petya petyaIl falso CHKDSK usando l’algoritmo Salsa20, con una chiave di 32 byte, questo algoritmo è utilizzato per crittografare, decrittografare e verificare la chiave.

Il malware, a differenza di altre varianti di ransomware, richiede molta interazione da parte dell’utente per poter essere pericoloso, occorre fornire i diritti di Amministratore, perché fortunamente non è stato programmato per sfruttare qualche vulnerabilità del software installato sul target per avere dei privilegi superiori. Tuttavia una volta che il pc è infettato ed il sistema è stato riavviato tutti i dati sono quasi definitivamente persi.

Nemmeno scollegando il pc e collegandolo ad un’altro permette di vedere qualcosa sul disco perchè è stata crittograta la Master File Table (MFT), inoltre ripristinando il MBR con l’utilità di Windows i dati andranno persi definitivamente.

Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

6 Aprile 2016

Blog & News

Categorie