MaxPatrol SIEM получил свыше 60 новых правил для обнаружения актуальных атак

Система мониторинга событий ИБ MaxPatrol SIEM дополнена новыми правилами обнаружения угроз. Обновления коснулись 18 пакетов экспертизы, помогающих выявлять актуальные техники атак на Microsoft Active Directory и Microsoft Exchange, а также активность хакерских фреймворков, действия злоумышленников с применением тактик по матрице MITRE ATT&CK[1] и сетевые аномалии во время удаленной работы.

Ежедневно хакеры изобретают новые методы нападений, совершенствуют и модифицируют уже известные и ищут аналоги тем своим инструментам, которые уже покрыты детектами систем безопасности. Чтобы обеспечивать результативную защиту и оперативно предупреждать инциденты ИБ, специалисты Positive Technologies следят за трендами и новейшими подходами киберпреступников и непрерывно расширяют экспертный контент MaxPatrol SIEM. Суммарно в рамках масштабного обновления экспертизы было разработано 60 правил корреляции и нормализации. С их помощью система среди прочего теперь выявляет:

• современные сетевые аномалии при удаленной работе, среди которых нетипичные для корпоративной инфраструктуры подключения по VPN или RDG не из России, подозрительные действия на узлах, исходящие от специализированных программ для удаленного администрирования, а также создание посредством их файлов, которые нарушители могут отправить на целевой узел для дальнейшего развития атаки;
• дополнительные признаки работы ранее детектируемых хакерских утилит Cobalt Strike и Covenant: их продолжают задействовать для постэксплуатации и сокрытия нелегитимной активности на конечных точках;
• новейшие сценарии атак на Microsoft Active Directory, службу каталогов для операционных систем семейства Windows: с обновленным пакетом экспертизы MaxPatrol SIEM сообщит оператору о попытках получения сертификатов для целевой учетной записи в результате ретрансляции NTLM-аутентификации[2], выпуска TGT-билетов[3] на имя другого пользователя вследствие злоупотребления сопоставлением сертификатов и других угрозах, связанных с переоформлением сертификатов;
• способы атак на корпоративный почтовый сервер Miсrosoft Exchange: среди добавленных детектируемых событий — скачивание с помощью функции Microsoft ActiveSync содержимого почтового ящика пользователя, учетные данные которого уже находятся в распоряжении злоумышленников, а также получение перечня опубликованных каталогов Microsoft Exchange с последующими попытками подключения по протоколу SMB[4] к каждому из них.

«Хакеры не теряют интереса к службе сертификации Microsoft: в последние месяцы атаки на Active Directory обрели большую популярность и, как и прежде, остаются в числе самых опасных для компаний. Обусловлено это тем, что служба играет важную роль в работе домена, но при этом имеет множество слабых мест в защите, которые активно эксплуатируются как до выхода патчей, так и после, если намеченные жертвы не установили исправленные версии приложения. Успешная реализация атаки, как правило, позволяет злоумышленникам получить максимальные привилегии и достичь поставленных целей в кратчайший срок, — отмечает Сергей Щербаков, старший специалист группы обнаружения продвинутых атак, Positive Technologies. — Этот пакет экспертизы — один из первых загруженных в MaxPatrol SIEM — не раз получал обновления. Мы серьезно переработали его, объединив предыдущие правила корреляции с новыми и выделив отдельный пакет для атак на службу сертификации Active Directory. Это позволит компаниям еще эффективнее выявлять и своевременно останавливать вредоносную активность, нацеленную на Active Directory».

Дополнительно специалисты Positive Technologies актуализировали выпущенные ранее пакеты для обнаружения техник атакующих, относящихся по матрице MITRE ATT&CK к тактикам «Получение учетных данных» (Credential Access), «Разведка» (Discovery), «Повышение привилегий» (Privilege Escalation), «Закрепление» (Persistence) и другим.

Чтобы начать использовать новые правила, необходимо обновить MaxPatrol SIEM до версии 8.2 и установить обновления пакетов экспертизы.