Сложные атаки стали заметнее: в MaxPatrol SIEM — 60 новых правил

Система мониторинга событий информационной безопасности MaxPatrol SIEM дополнена новыми правилами обнаружения угроз. Обновления коснулись 18 пакетов экспертизы, помогающих выявлять актуальные техники атак на Microsoft Active Directory и Microsoft Exchange, а также активность хакерских фреймворков, действия злоумышленников с применением тактик по матрице MITRE ATT&CK и сетевые аномалии во время удалённой работы.

Ежедневно хакеры изобретают новые методы нападений, совершенствуют и модифицируют уже известные и ищут аналоги тем своим инструментам, которые уже покрыты детектами систем безопасности. Чтобы обеспечивать результативную защиту и оперативно предупреждать инциденты ИБ, специалисты Positive Technologies следят за трендами и новейшими подходами киберпреступников и непрерывно расширяют экспертный контент MaxPatrol SIEM.

Суммарно в рамках масштабного обновления экспертизы было разработано 60 правил корреляции и нормализации. С их помощью система среди прочего теперь выявляет:

• современные сетевые аномалии при удалённой работе, среди которых нетипичные для корпоративной инфраструктуры подключения по VPN или RDG не из России, подозрительные действия на узлах, исходящие от специализированных программ для удалённого администрирования, а также создание посредством их файлов, которые нарушители могут отправить на целевой узел для дальнейшего развития атаки;
• дополнительные признаки работы ранее детектируемых хакерских утилит Cobalt Strike и Covenant: их продолжают задействовать для постэксплуатации и сокрытия нелегитимной активности на конечных точках;
• новейшие сценарии атак на Microsoft Active Directory: с обновлённым пакетом экспертизы MaxPatrol SIEM сообщит оператору о попытках получения сертификатов для целевой учётной записи в результате ретрансляции NTLM-аутентификации, выпуска TGT-билетов на имя другого пользователя вследствие злоупотребления сопоставлением сертификатов и других угрозах, связанных с переоформлением сертификатов;
• способы атак на корпоративный почтовый сервер Microsoft Exchange: среди добавленных детектируемых событий — скачивание с помощью функции Microsoft ActiveSync содержимого почтового ящика пользователя, учётные данные которого уже находятся в распоряжении злоумышленников, а также получение перечня опубликованных каталогов Microsoft Exchange с последующими попытками подключения по протоколу SMB к каждому из них.

Сергей Щербаков, старший специалист группы обнаружения продвинутых атак в Positive Technologies, пояснил: «Хакеры не теряют интереса к службе сертификации Microsoft: в последние месяцы атаки на Active Directory обрели большую популярность и, как и прежде, остаются в числе самых опасных для компаний». Он отметил, что служба имеет критическую роль в доменной инфраструктуре, но при этом содержит множество уязвимостей, которые эксплуатируются как до выхода патчей, так и после, если обновления не были установлены. По его словам, успешная атака часто позволяет злоумышленникам получить максимальные привилегии за короткое время.

Обновлённый пакет экспертизы, с которого начиналось наполнение MaxPatrol SIEM, был существенно переработан — в него интегрированы как прежние, так и новые правила, а для атак на службу сертификации Active Directory выделен отдельный набор.

Кроме того, были актуализированы существующие экспертные пакеты, направленные на обнаружение техник из матрицы MITRE ATT&CK, относящихся к тактикам «Получение учетных данных» (Credential Access), «Разведка» (Discovery), «Повышение привилегий» (Privilege Escalation), «Закрепление» (Persistence) и другим.