Як працює Agger Labs?
Виявлення
Підхід Agger виходить далеко за межі традиційних методів виявлення, таких як сигнатури або правила на основі IOC. В основі рішення — механізм виявлення аномалій до початку шифрування, який працює на рівні ядра операційної системи. Він пасивно відстежує та інтерпретує низькорівневу телеметрію ОС і поведінкові шаблони, динамічно формуючи пороги нормальної та аномальної активності в реальному часі. Замість того щоб чекати, поки файли буде зашифровано або скомпрометовано, Agger проактивно виявляє та перериває роботу програм-вимагачів на найранішій стадії — часто ще до запису першого байта шифрування.
Логіка виявлення безпосередньо вбудована в легкий високопродуктивний драйвер, що зводить затримку до кількох мілісекунд. Таке виявлення з нульовою затримкою дає змогу зупиняти програми-вимагачі до того, як станеться суттєва втрата даних, зокрема у випадку раніше невідомих zero-day варіантів. Крім того, агент Agger працює повністю локально. Жодна телеметрія чи конфіденційні дані не передаються назовні, що підвищує рівень приватності та зменшує залежність від зовнішніх сервісів.
Введення в оману
Механізм deception працює шляхом створення прихованих, ретельно сформованих файлів-приманок, стратегічно розміщених у файловій системі. Ці файли імітують чутливі та цінні дані, привабливі для програм-вимагачів, зокрема документи, зображення, файли баз даних і резервні копії. Водночас ці приманки є невидимими та не відрізнюваними від легітимних файлів на системному рівні — навіть під час детального криміналістичного аналізу немає розпізнаваних індикаторів або ознак.
Коли програма-вимагач намагається зашифрувати або змінити ці приманки, моніторинг Agger у режимі ядра миттєво спрацьовує, підтверджуючи наявність зловмисного наміру. Такий підхід істотно зменшує кількість хибно позитивних спрацювань, оскільки вимагає чітко підтвердженої взаємодії з bait-активами, забезпечуючи точність виявлення та нейтралізації загроз.
Захист
Scutum є невід’ємною частиною архітектури самозахисту Agger і спеціально спроєктований для протидії складним спробам зловмисників вимкнути компоненти безпеки навіть за сценаріїв із підвищеними привілеями. Він функціонує як watchdog у режимі ядра, посилює захист агента Agger, убезпечує критично важливі внутрішні комунікації та реалізує багаторівневу модель довіри для захисту ключових системних процесів.
Окрім захисту самого Agger, Scutum проактивно відстежує та захищає критично важливі сторонні інструменти, зокрема EDR, антивіруси, програмне забезпечення для резервного копіювання, бази даних і платформи віртуалізації. Він контролює спроби завершення процесів, вивантаження драйверів, призупинення потоків або маніпуляцій із критичними сервісами. Це забезпечує ранній сигнал попередження задовго до того, як зловмисники перейдуть до розгортання програми-вимагача.
Якщо загрозі все ж вдасться обійти ці захисні шари (хоча це малоймовірно), активуються механізми інтелектуального відновлення даних Agger, які дають змогу швидко відновити критично важливі файли, скоротити час простою та мінімізувати фінансовий і операційний вплив.
Блокування (Deny)
Хоча Agger уже на ранньому етапі виявляє та знищує програми-вимагачі, рівень Deny додає ще один вимір: стримування за задумом. Йдеться про проактивне обмеження того, до чого шкідливе ПЗ може отримати доступ, що може зашифрувати або змінити, якщо йому вдасться пройти першу лінію захисту.
Це включає такі підходи, як мікросегментація для ізоляції машин або користувачів один від одного, а також суворі політики доступу, які не дають програмам-вимагачам торкатися резервних копій, спільних папок або ключових системних процесів. У поєднанні з можливостями Scutum щодо захисту від втручання це значно ускладнює для зловмисників латеральне переміщення, підвищення рівня доступу або спричинення масштабних збитків.
Мета проста: навіть якщо щось прослизне, воно швидко натрапить на бар’єр. Deny перетворює вашу мережу з відкритого простору на суворо контрольований лабіринт, у якому програмі-вимагачу нікуди рухатися.
