Система мониторинга событий информационной безопасности MaxPatrol SIEM получила обновление ранее загруженных пакетов экспертизы для выявления техник сокрытия злоумышленников и признаков работы популярных хакерских инструментов . Правила детектирования нацелены на обнаружение продвинутых методов маскировки киберпреступников в инфраструктуре и активности фреймворков, часто используемых в целевых атаках.
Злоумышленники постоянно модифицируют свои инструменты, техники и методы атак, а также разрабатывают новые способы обхода средств защиты и сокрытия своего присутствия в инфраструктуре скомпрометированных компаний. MaxPatrol SIEM включил 42 новых правила, добавленные в ранее загруженные пакеты экспертизы. Они позволяют пользователям MaxPatrol SIEM выявлять наиболее актуальные техники атак и способы маскировки вредоносной активности. Среди них, в частности:
применение фреймворка Cobalt Strike: используется злоумышленниками для управления захваченной инфраструктурой — пост-эксплуатации уязвимостей, горизонтального перемещения внутри сети организации, закрепления на ресурсах и развития присутствия;
скрытое подключение к сессии Shadow RDP: используется атакующими для наблюдения за действиями пользователей во время RDP-сессии с целью получения данных (например, чтобы определить, как человек работает и какие характерные риски можно выполнить);
новые и менее известные техники получения доступа киберпреступников к процессу lsass.exe, где хранятся учетные данные;
техники тактики «Перемещение внутри периметра» по модели MITRE ATT&CK: злоумышленники используют их для получения доступа и управления удаленными системами в сети, установки вредоносных программ и постепенного расширения присутствия в инфраструктуре.
«Техники и инструменты атакующих активно развиваются, а вместе с ними и средства защиты, которые необходимо регулярно пополнять актуальной экспертизой для противодействия новым способам атак. Наши исследования киберугроз и популярных хакерских фреймворков показывают, что злоумышленники сегодня уделяют все больше внимания маскировке: хорошо зная современные методы детектирования, они изобретают новые, которые максимально усложняют обнаружение вредоносной активности. А значит, требуется глубже и тщательнее изучать события ИБ, чем раньше, — комментирует Кирилл Кирьянов, ведущий специалист отдела экспертных сервисов развития экспертного центра безопасности
Источник: SecurityLab