У 2017 і 2018 роках рішення компанії Acronis були протестовані на здатність до самозахисту незалежними лабораторіями, показавши при цьому відмінні результати.
У 2019 компанія Acronis стала учасником програми Microsoft Virus Initiative, а також успішно пройшла всі необхідні тести і отримала статус офіційно визнаного рішення безпеки для Windows. Це дозволяє новому Acronis Cyber Protect Cloud використовувати драйвер Early Launch Antimalware (ELAM) і функцію Protected Process Light (PPL).
Функція ELAM забезпечує механізм, підтримуваний Microsoft, який дозволяє програмному забезпеченню захисту від шкідливих програм (AM) запускатися раніше інших сторонніх компонентів. Драйвери AM ініціалізуються першими і дозволяють контролювати ініціалізацію наступних завантажувальних драйверів, що дозволяє їм потенційно блокувати невідомі завантажувальні драйвера від шкідливих руткітів і буткітів. При запуску системи ELAM сканує всі сторонні додатки і драйвера і відправляє ядру системи звіт, що містить всі драйвера й програмне забезпечення. Потім вони класифікуються, як одна з наступних чотирьох груп: якісна, неякісна, неякісна, але критична до завантаження, і невідома. За замовчуванням всі драйвера завантажуються в Windows, за винятком тих, які позначені як неякісні.
Acronis створив власний драйвер ELAM для своїх продуктів для кібербезпеки і використовує цей драйвер для захисту AM-PPL служби Acronis Cyber Protect Cloud. Драйвер ELAM Acronis дозволяє перераховувати певні хеші сертифікатів, які використовуються для дозволу або заборони DDL як процесу, захищеного PPL.
Не так давно SafeBreach Labs виявила нову уразливість в програмному забезпеченні Symantec Endpoint Protection. Ця вразливість дозволяє хакерам обійти механізм самозахисту Symantec і домогтися обходу захисту, стійкості і ескалації привілеїв шляхом завантаження довільної несанкціонованої DLL в процес, який підтримується Symantec, і працює під ім’ям NT AUTHORITY \ SYSTEM. Для його використання необхідно мати права адміністратора, але, як відомо, отримати права адміністратора не так вже й складно.
Експлуатація такої вразливості дуже вигідна для зловмисників, оскільки вони можуть робити в системі все, що завгодно, не будучи виявленими … і це не те, чого ви очікуєте від ваших рішень з безпеки. У випадку з Acronis Cyber Protect сервіс заснований на драйвері ELAM, який захищений від описаної вище атаки, і при цьому сервіс навіть не запитує експлуатований шлях коду.
У сфері кібербезпеки існує одна постійна тенденція: кіберзлочинці завжди шукають способи обійти захист, який використовують користувачі. У міру того, як хакери прагнуть безпосередньо обійти антивірусне програмне забезпечення, можливість потужних і надійних механізмів захисту стає критично необхідною для будь-якого рішення, розробленого для поточного і майбутнього спектра загроз.
З питань придбання продуктів Acronis звертайтеся до наших фахівців +380 (44) 383 4410 або sales@softico.ua
