Вышла новая версия PT Sandbox 5.9.0.

Что нового:

• Проверка артефактов поведенческого анализа для ОС семейства Linux
  В ходе поведенческого анализа проверяемый файл может генерировать артефакты, создавать новые файлы или скачивать файлы из интернета. PT Sandbox может извлекать артефакты из ВМ и проверять их методами статического и поведенческого анализа. Ранее такая проверка была доступна только для образов Windows, теперь она доступна и для образов ОС семейства Linux.
• Снятие дампов памяти процессов при поведенческом анализе в ОС семейства Linux
  PT Sandbox выполняет снятие дампов памяти для всех процессов, запускаемых в ходе поведенческого анализа файла. Ранее снятие дампов выполнялось только в образах Windows при завершении процесса или при завершении поведенческого анализа. Теперь снятие дампов также выполняется в образах ОС семейства Linux при завершении процесса.
• Поведенческий анализ файлов форматов JSE и VBE
  Файлы формата JSE содержат зашифрованные скрипты на языке JScript, а файлы формата VBE — на языке VBScript. Злоумышленники могут использовать такие файлы для внедрения в них вредоносного кода, например троянов. Теперь PT Sandbox может анализировать поведение файлов форматов JSE и VBE в образах Windows.
• Определение некоторых файлов Microsoft Office как потенциально опасных
  Теперь PT Sandbox относит к потенциально опасным файлы Microsoft Office форматов XLS и PPT, если они зашифрованы, содержат макросы или внедренные объекты OLE. Также PT Sandbox теперь относит к потенциально опасным файлы Microsoft Office, если они содержат надстройки для расширения пользовательских функций, например XLL или VSTO. Вы можете изменить такое поведение, указав критерии определения потенциально опасных файлов в параметрах проверки.
• Категоризация ссылок
  В PT Sandbox добавлено средство для категоризации ссылок PT Categorizer. Оно позволяет для каждой извлеченной ссылки добавлять в карточку объекта метки с указанием тематики или назначения ресурса по ссылке. Например, для ссылок на сайты, посвященные азартным играм, ставится метка Gambling, для ссылок на фишинговые сайты — метка Phishing. По умолчанию средство категоризации ссылок отключено.

Улучшения:

• Ссылки в списке объектов карточки задания
  При проверке объектов PT Sandbox может извлекать из них ссылки и проверять контент по этим ссылкам. Теперь все извлеченные из объектов ссылки отображаются в карточке задания в иерархическом списке объектов.
• Обновлен веб-интерфейс PT Sandbox
  Современный минималистичный дизайн, не перегруженный деталями, и легко читаемый шрифт делают новый интерфейс PT Sandbox еще более удобным. Интуитивно понятная цветовая кодировка элементов интерфейса облегчает восприятие информации, навигацию и позволяет быстро оценивать результаты проверок.

Читать подробнее

По вопросам, связанным с решениями PT: pt@mont.ru.