MaxPatrol SIEM теперь выявляет атакующих на этапе сбора данных

Олег Иванов 28 Января 2020 - 17:35

Корпорации

Positive Technologies

MaxPatrol SIEM

PT Expert Security Center

SIEM-системы

...

MaxPatrol SIEM теперь выявляет атакующих на этапе сбора данных

Пользователи системы MaxPatrol SIEM теперь могут выявлять злоумышленников на этапе, когда они собирают данные о скомпрометированной сети, чтобы развивать свою атаку. Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK.

После получения постоянного доступа к сети жертвы злоумышленникам требуется определить, где в инфраструктуре они находятся, что их окружает и что они могут контролировать. Во время разведки атакующие собирают данные о скомпрометированной системе и внутренней сети, и это помогает им сориентироваться, чтобы решить, как действовать дальше. Для этого злоумышленники часто используют встроенные инструменты операционных систем.

Новый пакет экспертизы включает в себя правила детектирования 15 популярных техник разведки. Теперь пользователи смогут обнаружить активность злоумышленников еще во время их попыток получить список учетных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты.

«Отличить активность атакующих, которые проводят разведку, от легитимных запросов обычных пользователей непросто, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center. — Если злоумышленники действуют под учетной записью реального пользователя и используют встроенные утилиты, то их активность, как правило, теряется в потоке событий. Новый пакет экспертизы поможет обратить внимание специалистов по ИБ на события, которые на первый взгляд могут не вызывать подозрений».

Пакет экспертизы, посвященный тактике «Разведка» (Discovery), — это пятый пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик. Пакеты, ранее загруженные в MaxPatrol SIEM, продолжают пополняться правилами по мере появления новых способов обнаружения атак. Так, одновременно с выходом пятого пакета экспертизы первый пакет из серии получил 14 правил корреляции для выявления техник выполнения кода и обхода защиты.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 04 Апреля 2025 - 17:00

Windows Уязвимости программ Домашние пользователи Корпорации Google

Google дважды латала одни и те же дыры в Quick Share из-за обхода патча

Прошлым летом Google закрыла в Windows-версии Quick Share девять уязвимостей; некоторые в связке позволяли удаленно выполнить сторонний код в системе. Созданные патчи оказались неполными, и их пришлось заменить.

Возможность проведения RCE-атаки на Windows через эксплойт Quick Share обнаружили исследователи из Safebreach. Когда они проверили выпущенные заплатки, выяснилось, что пару из них можно с легкостью обойти.

Одна некорректно решенная проблема могла повлечь отказ приложения Google для быстрого обмена файлами (DoS). Другая (CVE-2024-38272) позволяла без согласия юзера Quick Share передать на его компьютер файл, и тот автоматом записывался на диск.

После исправления утилита стала опознавать такие сюрпризы как Unknown File («неизвестные файлы») и удалять их по завершении сессии файлообмена. Как оказалось, этот фикс можно обойти, передав в рамках сессии два разных файла и присвоив содержимому пакетов (пейлоад) один и тот же ID: оба файла попадут в Загрузки, но сотрется потом только один.

Обход патча для CVE-2024-38272 был зарегистрирован как уязвимость CVE-2024-10668. Новую проблему Quick Share для Windows устранили в ноябре прошлого года с выпуском сборки 1.0.2002.2.

MaxPatrol SIEM теперь выявляет атакующих на этапе сбора данных

Читайте также