|
|
PT MultiScanner 5.6.0: возможности и улучшения
|
Мы рады сообщить о выходе новой версии PT MultiScanner.
Что нового:
- Распаковка исполняемых файлов при статическом анализе
Исполняемые файлы могут быть сжаты для их защиты и уменьшения объема. Теперь при статическом анализе PT MultiScanner распаковывает исполняемые файлы, созданные с помощью приложений ASPack, FSG, MPRESS, PECompact или UPX.
- Проверка хеш-сумм файлов по индикаторам компрометации
Теперь PT MultiScanner проверяет по индикаторам компрометации хеш-суммы всех файлов в заданиях. Проверка выполняется средством проверки PT IoC при статическом анализе файлов.
- Проверка ссылок по скомпрометированным IP-адресам и именам доменов
PT MultiScanner проверяет по индикаторам компрометации все ссылки в заданиях. Теперь индикаторами могут быть не только сами ссылки, но и содержащиеся в них скомпрометированные IP-адреса или имена доменов. Проверка выполняется средством проверки PT IoC при статическом анализе ссылок.
- Проверка переадресованных ссылок по индикаторам компрометации
Теперь PT MultiScanner проверяет по индикаторам компрометации не только ссылки извлеченные из объектов задания, но и все переадресованные ссылки. Переадресация может происходить несколько раз при попытке скачать контент по извлеченной ссылке.
- Проверка адресов запросов к ICAP-серверу по индикаторам компрометации
Теперь для источника «ICAP-сервер» PT MultiScanner проверяет по индикаторам компрометации адреса поступивших запросов. Индикаторами могут быть скомпрометированные URL, IP-адреса или имена доменов. Проверка контента для скомпрометированных адресов не выполняется.
Улучшения:
- Извлечение ссылок из вложений писем с обычным текстом
При проверке писем от источников PT MultiScanner может извлекать ссылки из тела письма и его вложений. Ранее ссылки из вложений извлекались только если они были отмечены специальными тегами в соответствии с форматом вложения. Теперь ссылки извлекаются даже если они оформлены как простой текст (для вложений формата RTF и HTML).
- Поддержка предварительного просмотра данных запросов к ICAP-серверу
Теперь для источника «ICAP-сервер» PT MultiScanner в поступивших запросах считывает значение из поля для предварительного просмотра данных (preview). Это позволяет отфильтровать запросы по типу поступающих на проверку данных и уменьшить количество проверяемых данных.
- В отчет для PT Threat Analyzer добавлена информация о ссылках и сетевых запросах
Теперь в отчет для PT Threat Analyzer добавляется информация о извлеченных из проверяемых объектов ссылках. В случае поведенческого анализы файлов в отчет также добавляется информация об обнаруженных сетевых запросах к URL и IP-адресам. Та же информация теперь добавляется в подробный отчете о результатах проверки для публичного API.
|
|
|
|