Спецпроекты

В Maxpatrol SIEM загружен новый пакет экспертизы

Безопасность Новости поставщиков

В систему выявления инцидентов Maxpatrol SIEM загружен новый пакет экспертизы, позволяющий выявлять злоумышленников на этапе, когда они связываются с атакованными машинами или пытаются повысить привилегии в системе до уровня администратора, чтобы развивать атаку.

Правила, вошедшие в состав девятнадцатого пакета экспертизы, детектируют применение техник «Повышение привилегий» (privilege escalation) и «Управление и контроль» (сommand and control) по модели MITRE ATT&CK. Текущий пакет экспертизы — это шестой пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик.

«Применение техник повышения привилегий говорит о попытках злоумышленников получить в атакуемой системе разрешения более высокого уровня. Для этого они эксплуатируют ошибки конфигурации и уязвимости. Техники "Управление и контроль" применяются тогда, когда атакующим нужно связаться с подконтрольными системами в сети жертвы, — сказал Антон Тюрин, руководитель отдела экспертных сервисов безопасности Positive Technologies (PT Expert Security Center). — Чтобы скрыть следы, злоумышленники имитируют обычное поведение в трафике, используют встроенные инструменты операционных систем. Новый пакет экспертизы поможет специалистам обнаружить эти действия и вовремя принять меры».

Пакет экспертизы включает в себя правила детектирования, которые помогают выявить следующие подозрительные действия: создание зловредной библиотеки, запуск исполняемых файлов от имени другого пользователя, запуск командной строки от имени системы, загрузку и запуск вредоносного ПО, проксирование портов, нелегитимное интернет-соединение, идущее от исполняемых файлов. Своевременное выявление этих действий позволит предотвратить дальнейшее продвижение злоумышленников и не даст им закрепиться в инфраструктуре.

Также эксперты Positive Technologies обновили пакеты экспертизы, покрывающие тактики выполнения (execution) и закрепления (persistence). Теперь пользователи смогут выявлять попытки использования злоумышленниками стандартных приложений Windows для нелегитимных действий и подмены или модификации исполняемого файла.