Libra ESVA , 14 livelli di analisi delle email e 2 sandbox proprietare

Libraesva Email Security Gateway protegge la tua azienda identificando tutti i tipi di minacce diffusE via email.
Grazie a un motore dotato di apprendimento automatico, a 14 livelli di analisi avanzata e alle sandbox proprietarie, Libraesva Email Security Gateway fornisce una protezione a 360° contro tutte le minacce di nuova generazione quali Business Email Compromise (BEC), ransomware, phishing, trojan, virus, spam e malware.

Tecnologie Innovative e Motore di Scansione Multi-Livello
Libraesva Email Security Gateway fornisce una protezione completa
grazie a un motore di scansione multi-livello, a tre motori antivirus e
a tecnologie innovative come la URLSand e la QuickSand Sandbox, per
un’analisi approfondita di tutte le mail in entrata.

Protezione in Tempo Reale
Libraesva Email Security Gateway analizza il comportamento di ogni
email tramite tecnologie dotate di intelligenza artificiale e apprendimento
automatico, per fornire una protezione completa contro le minacce
avanzate. Il Team di specialisti Libraesva analizza il feedback proveniente
da ogni installazione Libraesva Email Security Gateway e aggiorna il
sistema in tempo reale così da rendere immediatamente disponibili tutti
gli aggiornamenti per i propri clienti.

Protezione Email in Uscita
Libraesva Email Security Gateway filtra anche la posta in uscita
proteggendo la reputazione della connettività dallo spam spedito tramite
botnet.

Efficace e Certificato
Libraesva Email Security Gateway ha ricevuto riconocimenti internazionali
e fornisce un’elevata protezione contro le tutte le minacce diffuse via email
e blocca lo spam fino al 99,99% (Virus Bullettin) con zero falsi positivi.

Threat Analysis Portal
Il nuovo Threat Analysis Portal permette agli utenti di visualizzare le
minacce bloccate dalla loro appliance e compararle con le statistiche
globali, raccogliere informazioni relativamente a: localizzazione di domini
malevoli analizzati dalla URLSandbox; percentuale delle email bloccate;
trend dei link malevoli bloccati dalla URLSand Sandbox; dettagli relativi
ai documenti bloccati dalla QuickSand Sandbox.

ANTI MALWARE
Grazie a un motore di scansione multi-livello, all’analisi di codici malevoli presenti negli allegati e a tecnologie dotate di intelligenza artificiale, Libraesva Email Security Gateway fornisce un’analisi completa per una protezione a 360° contro gli zero-day malware e ransomware nascosti in allegati Microsoft® Office™, file PDF e RTF.

ANTI PHISHING
Libraesva Email Security Gateway fornisce un’analisi approfondita e in tempo reale del comportamento delle email. La URLSand Sandbox identifica le nuove e ancora sconosciute minacce nascoste nelle URL inviate via email, bloccandole e proteggendo l’utente da attacchi di spear-phishing, malware zero-day e ransomware.
Ogni URL presente in ogni mail viene analizzata in tempo reale, al momento di ogni click, per determinare la sicurezza della pagina web a cui rimanda.

BUSINESS EMAIL COMPROMISE PROTECTION
Le email di spear-phishing rappresentano l’esempio tipico di attacco mirato. Gli hackers conoscono i dettagli personali e mirano a colpire una persona o un’azienda conosciuta: Libraesva Email Security Gateway è un’efficace protezione anche contro questo tipo di attacchi. Le tecnologie proprietarie di rilevazione BEC di Libraesva Email Security Gateway consentono di prevenire e bloccare questi attacchi.

ANTI-SPAM
Libraesva Email Security Gateway fornisce un’elevata protezione dallo spam di ultima generazione, con uno Spam Catch-Rate pari al 99,99% (Virus Bullettin) e zero falsi positivi. Libraesva Email Security Gateway è sempre stato posizionato ai vertici della classifica Virus Bulletin dal 2010 ad oggi.

ANTI-VIRUS
Libraesva Email Security Gateway offre la possibilità di avere fino a tre motori di scansione anti virus per una maggiore protezione e reattività contro le minacce note. Oltre alla protezione ClamAV™, Libraesva Email Security Gateway integra la scansione di Avira™ e Bitdefender™ grazie ad una partnership tecnologica di lunga data.

Disponibile in tre modalità : On Premise, Private Cloud, Shared Cloud

Kaspersky : una trappola irresistibile per i malware

Eugene Kaspersky

L’emulazione , le sandbox, uno dei metodi per investigare circa la sicurezza di un oggetto.

Due articoli di Eugene Kaspersky : il primo qui.
Oggi il secondo:

“… un emulatore introduce l’oggetto investigato in un ambiente artificiale isolato, spingendolo a rivelare il suo carattere dannoso.

Tuttavia, questa strategia presenta un grande svantaggio: il fatto che l’ambiente sia artificiale. L’emulatore si sforza per rendere l’ambiente artificiale un ambiente vero del sistema operativo, ma i malware sempre più intelligenti riescono ancora a distinguerlo dalla realtà. L’emulatore poi vede che il malware lo ha riconosciuto, mette insieme e migliora la sua emulazione, e così via in un ciclo infinito che apre le porte della vulnerabilità a un computer protetto. Il problema fondamentale è che ancora nessun emulatore rappresenta l’immagine speculare di un vero sistema operativo.

D’altra parte, c’è un altro metodo per far fronte all’analisi comportamentale degli oggetti sospetti: analizzarli (in un sistema operativo reale) dentro una macchina virtuale. Beh, perché no? Se l’emulatore non lo ferma completamente, lasciate che lo faccia una macchina (reale) virtuale! Sarebbe l’interrogatorio ideale: si svolge in un ambiente reale, non artificiale, ma senza le conseguenze negative reali.

Ascoltando questo concetto, è possibile che alcuni si chiedano perché nessuno ci aveva mai pensato prima. Dopotutto, la virtualizzazione è una delle tendenze della tecnologia dal 1992. Beh, a quanto pare non è così semplice.

Prima di tutto, l’analisi degli oggetti sospetti in una macchina virtuale è un processo che utilizza molte risorse, cosa che risulta idonea solo per le soluzioni di sicurezza di grandi aziende dove l’analisi deve essere super intensa, in modo che assolutamente nessun oggetto dannoso riesca a superare le difese. Ahimè, questa tecnologia non è adatta ai computer di casa e agli smartphone, almeno per ora.

In secondo luogo, questa tecnologia esiste per davvero. Infatti, la usiamo già internamente qui nella Kompagnia, per effettuare indagini. Però se parliamo di prodotti per essere venduti, non ce ne sono ancora molti disponibili. La concorrenza ha rilasciato prodotti simili, ma la loro efficacia lascia ancora molto a desiderare. In generale, questi prodotti si limitano a raccogliere registri e analisi di base.

In terzo luogo, avviare un file in una macchina virtuale è solo l’inizio di un lungo e difficoltoso processo. Dopotutto, l’obiettivo dell’esercizio è quello di far sì che si riveli la natura dannosa di un oggetto; e per far ciò c’è bisogno (tra le altre cose) di un hypervisor intelligente, l’analisi e il registro comportamentale, la messa a punto costante dei modelli di azioni pericolose, la protezione contro i trucchi anti-emulazione e l’ottimizzazione dell’esecuzione.

Posso affermare senza falsa modestia che siamo molto avanti rispetto al resto del mondo!

Recentemente, abbiamo ottenuto un brevetto statunitense (US10339301) che riguarda la creazione di un ambiente adeguato a far sì che la macchina virtuale effettui analisi veloci e profonde di oggetti sospetti. Funziona così:

Le macchine virtuali sono state create (per diversi tipi di oggetti) con impostazioni che assicurano la loro esecuzione ottimale e un tasso di rilevamento altissimo;
L’hypervisor di una macchina virtuale funziona insieme al registro del comportamento di un oggetto e dell’analisi del suo sistema, con l’aiuto dei database aggiornabili dei modelli comportamentali sospetti, dell’euristica e della logica di azione-reazione e molto altro;
Se vengono rilevate azioni sospette, il sistema di analisi incorpora al volo i cambiamenti nel processo di esecuzione dell’oggetto in una macchina virtuale con il fine di fargli rivelare le sue intenzioni dannose. Per esempio, il sistema può creare file, modificare il registro, accelerare i tempi e così via.

Il terzo e ultimo punto è la caratteristica più unica e interessante della nostra tecnologia. Lasciate che vi faccia un esempio per farvi capire come funziona.

Il sistema rileva che un file “si è addormentato” e non da più segni di attività. Ciò è dovuto al fatto che può essere stato programmato per rimanere inattivo per vari minuti, decine di minuti o anche ore prima di mostrare la sua attività dannosa. Quando inizia la sua falsa inattività, acceleriamo il tempo del funzionamento della macchina virtuale in modo da far passare uno, tre, cinque, e fino a un miliardo di minuti al secondo. La funzionalità dell’oggetto in analisi non cambia, mentre il tempo di attesa si riduce di cento (fino a mille) volte; e se dopo il suo “pisolino,” il malware decide di verificare l’orologio di sistema (ha seguito il proprio corso?), gli si farà credere che è così, pertanto continuerà con la sua missione dannosa e, di conseguenza, si esporrà nel processo.

Un altro esempio.

L’oggetto sfrutta una vulnerabilità in una libreria specifica o cerca di cambiare il contenuto di un file o di un registro. All’inizio, con l’aiuto della funzione comune fopen() cercherà di aprire la libreria (file o registro) e, se fallisce (non esiste nessuna libreria, né i diritti d’accesso), si arrenderà semplicemente. In questa situazione, cambiamo (al volo) il valore di ritorno della funzione fopen() da “file inesistente” a “file esistente” (o se necessario, creiamo il file e inseriamo il contenuto corrispondente); poi, osserviamo semplicemente come si comporta l’oggetto.

Questa strategia funziona molto bene anche nella condizione di alberi logici del comportamento di un oggetto. Ad esempio, se esistono un file A e un file B, allora si modifica il file C ed è fatta. Tuttavia, non si sa ciò che farà il programma soggetto all’indagine e se esiste solo il file A o il file B; dopodiché analizziamo l’attività dell’albero logico.

Una cosa degna di nota è che le regole di reazione per l’esecuzione dei file son configurate attraverso database esterni e facilmente aggiornabili. Non c’è bisogno di sviluppare di nuovo l’intero motore per aggiungere una nuova logica, basta solo descrivere la moltitudine di scenari possibili del comportamento dannoso e aggiornarla con un click.

Ed è così che funziona in sostanza la nostra tecnologia. Sarà presto aggiunta a KATA e verrà commercializzata come una soluzione indipendente per le aziende: Kaspersky Sandbox.

…”

Fonte
Kaspersky blog

Zimbra Collaboration : rilasciate nuove patch

Zimbra ha rilasciato delle nuove patch

Zimbra 8.8.15 “James Prescott Joule” Patch 1
Zimbra 8.8.12 “Isaac Newton” Patch 5

Per Zimbra 8.8.8 e versioni successive, non è necessario scaricare alcun build di patch. I pacchetti di patch possono essere installati utilizzando i comandi di gestione dei pacchetti Linux. Fare riferimento alle rispettive note di rilascio per l’installazione della patch su piattaforme Red Hat e Ubuntu.

Nota: l’installazione di un pacchetto zimbra-patch aggiorna solo i pacchetti core di Zimbra.

Zimbra 8.8.15 “James Prescott Joule” Patch 1

La patch 1 è qui per la versione GA di Zimbra 8.8.15 “James Prescott Joule” e include le correzioni elencate nelle note di rilascio .

Mette in risalto:

Zimbra 8.8.15 ora è completamente supportato su UBUNTU18 (GA). Puoi scaricare la versione da https://www.zimbra.com/downloads
Zimbra Connect (nuove funzionalità)
- Riunioni istantanee: le sessioni di chat di testo e video possono includere utenti esterni.
- Gestore profilo utente: ora gli utenti possono gestire le impostazioni di notifica di Connect e caricare un’immagine del profilo.

Security Fixes

Di seguito sono riportate informazioni su correzioni di sicurezza, criteri di risposta di sicurezza e classificazione del livello di vulnerabilità. Per ulteriori dettagli, consultare la Politica di risposta alla sicurezza di Zimbra e le Informazioni sulla classificazione della vulnerabilità di Zimbra .

Bug#	Summary	CVE-ID	CVSS Score	Zimbra Rating	Fix Release or Patch Version
109174	Non-Persistent XSS – admin console	CVE-2019-12427	4.3	Minor	8.8.15 P1
109141	Non-Persistent XSS – web client	CVE-2019-15313	4.3	Minor	8.8.15 P1

Zimbra 8.8.12 “Isaac Newton” Patch 5

La patch 5 è qui per la versione di Zimbra 8.8.12 “Isaac Newton” GA e include le correzioni elencate nelle note di rilascio ..

Fixed Issues
L’attributo di visualizzazione CSS è ora configurabile in OWASP consentendo agli utenti di avere un migliore controllo sugli elementi di rendering HTML.
Introduction of OWASP sanitization caused HTML action buttons shown in L’introduzione della sanificazione di OWASP creava problemi nei pulsanti-action inseriti nelle e-mail per aprire i collegamenti all’interno del riquadro di anteprima dell’email. Ora si aprono in una nuova scheda o finestra.
L’impostazione zimbraLastLogonTimeStampFrequency ora limita la frequenza degli aggiornamenti a “lastLoginTimeStamp” nell’archiviazione dei dati riducendo il carico dati per la sincronizzazione nei sistemi multi-nodo.

Il ransomware Syrk si nasconde nel pacchetto di trucchi per Fortnite

I criminali informatici cercano di ricavare introiti da qualsiasi cosa goda di favore pubblico, persino i giochi più popolari. Il malware spesso finge di essere una copia pirata o una versione mobile di un gioco, soprattutto se quest’ultimo non è stato ufficialmente pubblicato.

Una delle ultime novità è Syrk, un ransomware encryptor che si fa passare per un pacchetto di trucchi per Fortnite, un gioco che in soli due anni ha all’attivo 250 milioni di utenti. Syrk promette ai giocatori due trucchi: aimbot (uno strumento per mirare automaticamente) e WH (conosciuto anche come ESP, che scopre la localizzazione di altri utenti). In realtà, quello che fa davvero è cifrare i file delle vittime e chiedere un riscatto.

Come funziona il ransomware Syrk

Secondo i ricercatori Cyren, Syrk è una copia intatta di un ransomware open source. Una volta eseguito, il software si connette a un server command and control e disattiva i seguenti programmi:

Windows Defender
UAC (il sistema che richiede l’autorizzazione dell’utente per eseguire operazioni da amministratore).
Applicazioni di monitoraggio dei processi che possono essere usate per individuare infezioni come Task Manager, Process Monitor e Process Hacker.

Inoltre, questo malware si aggiunge autonomamente all’elenco di caricamento automatico, per far sì che l’utente non possa disfarsi del problema semplicemente riavviando il computer.

Il malware inizia a localizzare e a cifrare file multimediali, documenti di testo, fogli di calcolo, archivi ZIP e RAR, file di Photoshop e Microsoft Visual Studio, e infine aggiunge al file l’estensione .SYRK.

Sullo schermo appare una richiesta di riscatto impossibile da chiudere.

https://twitter.com/leotpsc/status/1156875558174769152

Il testo con la maschera di Guy Fawkes sullo sfondo dice che l’unico modo per recuperare i file è quella di contattare i criminali via mail e pagarli. La vittima ha un tempo limitato per farlo: Syrk eliminerà i file cifrati ogni due ore, prima le cartelle con le immagini, poi quelle del desktop e infine i documenti dell’utente.

Come recuperare i file e gratis

Abbiamo una buona notizia: anche se Syrk ha penetrato nel vostro pc e ha cifrato i vostri documenti, non dovete pagare il riscatto. La sua versione attuale custodisce la chiave necessaria per decifrare i file del computer infettato in un file chiamato -pw+.txt o +dp-.txt.

Per recuperare i vostri file:

Copiate la chiave;
Nella finestra di richiesta del riscatto, premete su Mostra il mio ID per aprire una pagina che mostra il vostro ID e vi invita a introdurre la chiave per decifrare i file.
Incollate la chiave nel campo corrispondente e premete Decifra i miei file.

Il programma recupererà le foto e i documenti cifrati, creando ed eseguendo due file .exe, i quali elimineranno i resti del malware.

C’è anche un altro modo per recuperare i file, anche se è più complicato. La verità è però che il malware include una componente di decifrazione che recupererà i documenti, sempre che riusciate ad estrarlo ed eseguirlo. L’infezione dovrà comunque essere eliminata manualmente.

Come proteggersi dai ransomware

Secondo i ricercatori, i dati eliminati da Syrk possono essere recuperati, anche se è possibile che abbiate bisogno dell’aiuto di esperti.

Recuperare i file grazie all’aiuto della chiave archiviata funziona, ma i creatori del malware possono impostare questo strumento per negare all’utente l’opportunità di decifrare i file senza pagare il riscatto. Come sempre, la migliore strategia è quella di evitare che il malware vi infetti.

Non scaricate mai programmi da fonti non attendibili, nonostante vi promettano grandi vantaggi per i vostri giochi;
Effettuate il backup dei file e custoditelo adeguatamente per far sì che nessuno possa accedervi direttamente attraverso il vostro computer. Se utilizzate hard disk o memorie USB, vanno collegate solo per effettuare i backup;
Installate una soluzione di sicurezza di fiducia.Kaspersky Internet Security rileva Syrk come oggetto dannoso, che non potrà mai accedere ai vostri file, nonostante proviate a scaricarlo ed eseguirlo.

Fonte
Kaspersky Blog

Libra ESVA , protezione della posta : come funzionano le SandBox

Libraesva Email Security fornisce un’analisi approfondita e in tempo reale del comportamento di tutte le email in entrata, grazie a un motore di scansione multi-livello, a tre motori antivirus e a due tecnologie innovative come la URLSand e la QuickSand, dotate di intelligenza artificiale e apprendimento automatico, per una protezione completa contro le minacce più avanzate.

URLSAND SANDBOX
La URLSand Sandbox rileva le più recenti e ancora sconosciute minacce informatiche nascoste nei link diffusi via email, al fine di proteggere la tua azienda da phishing, ransomware e minacce zero-day.
L’analisi di sicurezza della pagina da visitare viene effettuata in tempo reale al momento del click e ogni volta che ci si collega.

COME FUNZIONA?
L’Email Security Gateway riscrive ogni link presente nelle email ricevute e li indirizza alla URLSand Sandbox.
Quando l’utente clicca sul link, la Sandbox visita la pagina web e verifica eventuali comportamenti sospetti e presenza di malware, decidendo se reindirizzare l’utente o bloccare il collegamento.

QUICKSAND SANDBOX
QuickSand Sandbox esegue un’analisi approfondita del codice degli allegati ricercando malware nascosti nei documenti di Microsoft ® Office TM, PDF, RTF e archivi compressi.
È in grado di sanitizzare i file disarmando i contenuti attivi pericolosi come malware, macro, javascript, consegnando solo documenti sicuri.

COME FUNZIONA?
QuickSand Sandbox analizza e classifica il contenuto attivo dei documenti Microsoft ® Office TM, PDF, RTF e archivi compressi, come macro e codice javascript. Il codice sospetto viene rimosso, e l’utente riceve un documento pulito.