В 2017 и 2018 годах решения компании Acronis были протестированы на способность к самозащите независимыми лабораториями, показав при этом отличные результаты.
В 2019 году компания Acronis стала участником программы Microsoft Virus Initiative, а также успешно прошла все необходимые тесты и получила статус официально признанного решения безопасности для Windows. Это позволяет новому Acronis Cyber Protect Cloud использовать драйвер Early Launch Antimalware (ELAM) и функцию Protected Process Light (PPL).
Функция ELAM обеспечивает механизм, поддерживаемый Microsoft, который позволяет программному обеспечению защиты от вредоносных программ (AM) запускаться раньше других сторонних компонентов. Драйверы AM инициализируются первыми и позволяют контролировать инициализацию последующих загрузочных драйверов, что позволяет им потенциально блокировать неизвестные загрузочные драйвера от вредоносных руткитов и буткитов. При запуске системы ELAM сканирует все сторонние приложения и драйвера и отправляет ядру системы отчет, содержащий все драйвера устройства и программное обеспечение. Затем они классифицируются, как одна из следующих четырех групп: качественная, некачественная, некачественная, но критичная к загрузке, и неизвестная. По умолчанию все драйвера загружаются в Windows, за исключением тех, которые помечены как некачественные.
Acronis создал собственный драйвер ELAM для своих продуктов для кибербезопасности и использует этот драйвер для защиты AM-PPL службы Acronis Cyber Protect Cloud. Драйвер ELAM Acronis позволяет перечислять определенные хэши сертификатов, которые используются для разрешения или запрета загрузки DDL как процесса, защищенного PPL.
Не так давно SafeBreach Labs обнаружила новую уязвимость в программном обеспечении Symantec Endpoint Protection. Эта уязвимость позволяет хакерам обойти механизм самозащиты Symantec и добиться обхода защиты, стойкости и эскалации привилегий путем загрузки произвольной несанкционированной DLL в процесс, который поддерживается Symantec, и работает под именем NT AUTHORITY\SYSTEM. Для его использования необходимы права администратора, но, как известно, получить права администратора не так уж и сложно.
Эксплуатация такой уязвимости очень выгодна для злоумышленников, поскольку они могут делать в системе все, что угодно, не будучи обнаруженными … и это не то, чего вы ожидаете от решения по безопасности. В случае с Acronis Cyber Protect сервис основан на драйвере ELAM, который защищен от описанной выше атаки, и при этом сервис даже не запрашивает эксплуатируемый путь кода.
В сфере кибербезопасности существует одна постоянная тенденция: киберпреступники всегда ищут способы обойти защиту, которую используют пользователи. По мере того, как хакеры стремятся напрямую обойти антивирусное программное обеспечение, важность мощных и надежных механизмов защиты становится критически необходимой для любого решения, разработанного для текущего и будущего спектра угроз.
По вопросам приобретения продуктов Acronis обращайтесь к нашим специалистам +380 (44) 383 4410 или sales@softico.ua
