Az elmúlt időszakban több környezetben is megemelkedett REP X észlelést és automatikus eszközizolálási eseményt tapasztaltunk.
MXDR és termékfejlesztési csapatunkkal közösen történő vizsgálat alapján megerősíthetjük, hogy ezeknek a riasztásoknak a többsége nem rosszindulatú tevékenységhez, hanem legitim felhasználói vagy alkalmazásműveletekhez kapcsolódik, amelyek a kanári fájlokat érintik.
Miért történik mindez?
A REP X kanári fájlokat hoz létre – ezek olyan csaliállományok, amelyek célja a támadók korai felderítési tevékenységének azonosítása, még mielőtt zsarolóvírus vagy más károkozás történne.
Ezek a fájlok szándékosan jól láthatók és könnyen elérhetők, ezért:
- bármilyen megnyitás
- olvasás
- vagy módosítási kísérlet
riasztást vált ki.
Ahogy a REP X használata egyre szélesebb körben terjed, úgy látunk egyre több teljesen ártalmatlan interakciót, például:
- operációs rendszer fájlböngészése vagy indexelése
- irodai alkalmazások metaadat-olvasása
- felhasználók kíváncsiságból megnyitott fájlai
Ezek a működésből fakadóan természetesen riasztásokat generálnak.
Miért fontosak a kanári riasztások?
A kanári fájlok nagyon pontos és rendkívül korai figyelmeztetést nyújtanak.
Ha egy támadó hozzáfér egy végponthoz, általában legitim alkalmazásokkal (Explorer, Notepad, Office stb.) kezdi meg a felderítést, mielőtt tényleges malware-t telepítene.
Ezért amint egy kanári fájlhoz hozzáférnek, a rendszer azonnal jelzi az ilyen korai stádiumú aktivitást, ami értékes reakcióidőt biztosít az Ön csapatának és a mi MXDR elemzőinknek.
Ezért javasoljuk erősen, hogy minden általános alkalmazásnál maradjon aktív a monitorozás.
Ezek kizárása olyan „vakfoltokat” hozna létre, amelyeket a támadók ki is használnak.
Mit tapasztalhat mostanában?
- Megnövekedett számú REP X riasztást ártalmatlan események miatt
- Időnként automatikus izolálást (házirendtől függően)
- Heimdal Agent értesítéseket védett fájl eléréséről
Fontos: ezek nem valódi fenyegetések növekedését jelzik, csupán a csaliállományokkal kapcsolatos aktivitást.
Folyamatban lévő fejlesztések
Folyamatosan dolgozunk a REP X élmény finomításán, többek között:
- jobb logika a megbízható alkalmazások kezelésére
- zaj csökkentése a detekciós pontosság megtartásával
- felhasználói üzenetek és útmutatók javítása
- hangolási lehetőségek vizsgálata nagy aktivitású környezetekben
Mit tehet Ön?
A Heimdal folyamatosan finomítja a detekciós logikát és a kommunikációt, így jelenleg nincs szükség beavatkozásra az Ön részéről.
A javaslatok:
- Hagyja aktívan a monitorozást minden általános alkalmazásnál
- Csak akkor korlátozza, ha erre külön műveleti igény indokolja (nem ajánlott)
- Figyelje az irányítópulton megjelenő új funkciókat és frissítéseket
Összefoglaló
- A megnövekedett riasztásszám várható és ártalmatlan műveletekhez kapcsolódik.
- A REP X a tervezett módon működik; nincs szükség konfigurációs változtatásra.
- A Heimdal aktívan dolgozik a zaj csökkentésén és a felhasználói élmény javításán.
- A kanári fájlok továbbra is az egyik legmegbízhatóbb jelzői a támadások korai fázisának.
Maradjon naprakész
Az irányítópult beépített kommunikációs felületén keresztül folyamatosan értesülhet az új funkciókról és frissítésekről.
Bármilyen kérdés esetén forduljon hozzánk bizalommal:
A Heimdal irányítópult megfelelő működése érdekében kérjük, törölje a böngésző sütijeit és gyorsítótárát a belépés előtt.
