Как работает Agger Labs?
Обнаружение
Подход Agger выходит далеко за рамки традиционных методов обнаружения, таких как сигнатуры или правила на основе IOC. В основе решения — механизм обнаружения аномалий до начала шифрования, который работает на уровне ядра операционной системы. Он пассивно отслеживает и интерпретирует низкоуровневую телеметрию ОС и поведенческие шаблоны, динамически формируя пороги нормальной и аномальной активности в реальном времени. Вместо того чтобы ждать, пока файлы будут зашифрованы или скомпрометированы, Agger проактивно выявляет и прерывает работу программ-вымогателей на самой ранней стадии — часто ещё до записи первого байта шифрования.
Логика обнаружения напрямую встроена в лёгкий высокопроизводительный драйвер, что сводит задержку к нескольким миллисекундам. Такое обнаружение с нулевой задержкой позволяет останавливать программы-вымогатели до того, как произойдёт существенная потеря данных, в том числе в случае ранее неизвестных zero-day вариантов. Кроме того, агент Agger работает полностью локально. Никакая телеметрия или конфиденциальные данные не передаются наружу, что повышает уровень приватности и снижает зависимость от внешних сервисов.
Введение в заблуждение
Механизм deception работает за счёт создания скрытых, тщательно сформированных файлов-приманок, стратегически размещённых в файловой системе. Эти файлы имитируют чувствительные и ценные данные, привлекательные для программ-вымогателей, включая документы, изображения, файлы баз данных и резервные копии. При этом такие приманки невидимы и неотличимы от легитимных файлов на системном уровне — даже при детальном криминалистическом анализе отсутствуют распознаваемые индикаторы или признаки.
Когда программа-вымогатель пытается зашифровать или изменить эти приманки, мониторинг Agger в режиме ядра мгновенно срабатывает, подтверждая наличие злонамеренного намерения. Такой подход существенно снижает количество ложноположительных срабатываний, поскольку требует чётко подтверждённого взаимодействия с bait-активами, обеспечивая точность обнаружения и нейтрализации угроз.
Защита
Scutum является неотъемлемой частью архитектуры самозащиты Agger и специально спроектирован для противодействия сложным попыткам злоумышленников отключить компоненты безопасности даже в сценариях с повышенными привилегиями. Он функционирует как watchdog в режиме ядра, усиливает защиту агента Agger, защищает критически важные внутренние коммуникации и реализует многоуровневую модель доверия для защиты ключевых системных процессов.
Помимо защиты самого Agger, Scutum проактивно отслеживает и защищает критически важные сторонние инструменты, включая EDR, антивирусы, программное обеспечение для резервного копирования, базы данных и платформы виртуализации. Он контролирует попытки завершения процессов, выгрузки драйверов, приостановки потоков или манипуляций с критическими сервисами. Это обеспечивает ранний сигнал предупреждения задолго до того, как злоумышленники перейдут к развёртыванию программы-вымогателя.
Если угрозе всё же удастся обойти эти защитные слои (хотя это маловероятно), активируются механизмы интеллектуального восстановления данных Agger, которые позволяют быстро восстановить критически важные файлы, сократить время простоя и минимизировать финансовое и операционное влияние.
Блокирование (Deny)
Хотя Agger уже на раннем этапе выявляет и уничтожает программы-вымогатели, уровень Deny добавляет ещё одно измерение: сдерживание по замыслу. Речь идёт о проактивном ограничении того, к чему вредоносное ПО может получить доступ, что оно может зашифровать или изменить, если ему удастся пройти первую линию защиты.
Это включает такие подходы, как микросегментация для изоляции машин или пользователей друг от друга, а также строгие политики доступа, которые не позволяют программам-вымогателям затрагивать резервные копии, общие папки или ключевые системные процессы. В сочетании с возможностями Scutum по защите от вмешательства это значительно затрудняет для злоумышленников латеральное перемещение, повышение уровня доступа или причинение масштабного ущерба.
Цель проста: даже если что-то проскользнёт, оно быстро упрётся в барьер. Deny превращает вашу сеть из открытого пространства в строго контролируемый лабиринт, в котором программе-вымогателю некуда двигаться.
