Система мониторинга событий информационной безопасности MaxPatrol SIEM получила обновление ранее загруженных пакетов экспертизы для выявления техник сокрытия злоумышленников и признаков работы популярных хакерских инструментов . Правила детектирования нацелены на обнаружение продвинутых методов маскировки киберпреступников в инфраструктуре и активности фреймворков, часто используемых в целевых атаках.
Злоумышленники постоянно модифицируют свои инструменты, техники и методы атак, а также разрабатывают новые способы обхода средств защиты и сокрытия своего присутствия в инфраструктуре скомпрометированных компаний. MaxPatrol SIEM включил 42 новых правила, добавленные в ранее загруженные пакеты экспертизы. Они позволяют пользователям MaxPatrol SIEM выявлять наиболее актуальные техники атак и способы маскировки вредоносной активности. Среди них, в частности:
применение фреймворка Cobalt Strike: используется злоумышленниками для управления захваченной инфраструктурой — пост-эксплуатации уязвимостей, горизонтального перемещения внутри сети организации, закрепления на ресурсах и развития присутствия;
скрытое подключение к сессии Shadow RDP: используется атакующими для наблюдения за действиями пользователей во время
Источник: SecurityLab