PT Sandbox 5.7.0: возможности и улучшения

Мы рады сообщить о выходе новой версии PT Sandbox.

Что нового:

• Фильтрация извлеченных ссылок при проверке файлов через веб-интерфейс
  Теперь при проверке файлов через веб-интерфейс вы можете настроить фильтрацию извлеченных из файлов ссылок. PT Sandbox скачивает и проверяет контент только по тем ссылкам, которые удовлетворяют указанным вами параметрам. Вы можете указать адреса, с которых будет скачиваться контент для проверки, и исключаемые адреса. Также вы можете включить эвристику для обнаружения и проверки подозрительных ссылок и ограничить количество проверяемых ссылок в одном задании.
• Определение некоторых типов файлов офисных форматов как потенциально опасных
  Теперь PT Sandbox относит к потенциально опасным файлы Microsoft Office версии 2007 и выше, если они используют элементы ActiveX, содержат запросы к внешним данным,используют шаблон, функции динамического обмена данными (DDE) или содержат настроенные действия (Actions). Вы можете изменить такое поведение, изменив критерии определения потенциально опасных файлов в параметрах проверки.
• Распаковка ELF-файлов, сжатых приложением UPX
  Исполняемые файлы ELF могут быть сжаты с помощью приложения UPX для защиты и уменьшения их объема. Теперь при статическом анализе PT Sandbox может распаковывать и проверять такие файлы.
• Признаки PDF-файлов для их проверки методом поведенческого анализа
  Теперь в параметрах проверки файлов от источников для файлов PDF вы можете указать признаки, при наличии которых PT Sandbox будет проверять их методом поведенческого анализа. Вы можете включить проверку файлов PDF, если они зашифрованы, содержат объекты OLE, сценарии JavaScript или в них настроены действия при открытии (OpenActions) или любые другие действия (Actions).
• Новые образы виртуальной машины
  Теперь для анализа поведения файлов в операционной системе вы можете использовать образы виртуальной машины Astra Linux Special Edition 1.7 релиза «Смоленск« и Ubuntu 22.04.1 Long-Term Support (версии для 64-разрядной архитектуры).
• Уведомления о прекращении технической поддержки PT Sandbox
  Теперь за месяц до прекращения технической поддержки установленной у вас версии PT Sandbox будет появляться системное уведомление о планируемом прекращении поддержки. Если у вас установлена версия PT Sandbox, для которой техническая поддержка уже прекращена, соответствующее системное уведомление будет также показано.

Примечание: Техническая поддержка PT Sandbox осуществляется для всех версий, выпущенных за последние три месяца, для последней минорной версии и для последней сертифицированной ФСТЭК версии.

Улучшения:

• Фильтрация объектов в таблице с угрозами в карточке задания
  В карточке задания изменена таблица с угрозами. Теперь вы можете скрыть объекты с угрозами, которые унаследовали свой вердикт от дочерних, и просматривать только те объекты, которые стали причиной вердикта и содержат вредоносное ПО (в таблице не отображаются артефакты поведенческого анализа). По значку “i” вы можете посмотреть, какими средствами проверки угрозы были обнаружены. Также теперь в таблице вы можете просматривать все объекты задания или только объекты первого уровня вложенности.
• Информация в карточке объекта о его добавлении в черный или белый список
  Теперь из карточки объекта по ссылке Найти файл в списках вы можете узнать не только, есть ли файл в списках, но и когда и кем он был добавлен, а также тип добавленной хеш-суммы.
• Поддержка типа содержимого multipart/form-data при загрузке файлов на проверку через API
  При проверке файлов через публичный API теперь поддерживается загрузка файлов в PT Sandbox не только в бинарном виде, но и в виде содержимого с типом multipart/formdata. Вы можете использовать этот тип содержимого в POST-запросах для загрузки файла при проверке с передаваемыми параметрами /storage/uploadScanFile и для запуска проверки файла с выбранными параметрами /scan/checkFile

Читать подробнее...