MaxPatrol SIEM выявляет попытки атакующих получить учетные данные

MaxPatrol SIEM выявляет попытки атакующих получить учетные данные

В MaxPatrol SIEM загружены 19 новых правил для обнаружения атак, нацеленных на получение учетных данных (Credential Access).

В MaxPatrol SIEM загружены 19 новых правил для обнаружения атак, нацеленных на получение учетных данных (Credential Access). Это четвертый [1] пакет экспертизы из специальной серии для покрытия тактик модели MITRE ATT&CK [2]. С его помощью пользователи MaxPatrol SIEM смогут предотвратить получение злоумышленниками легитимных учетных данных, которое в случае успеха атаки усложнило бы возможность обнаружения атакующих в системе.

Тактика «Получение учетных данных» объединяет техники, нацеленные на кражу учетных имен и паролей. Это возможно, например, с помощью подбора паролей (брутфорс), поиска файлов, содержащих пароли, дампинга учетных записей, эксплуатации уязвимостей.

Использование легитимных учетных записей помогает злоумышленникам получить доступ к системам, создать новые учетные записи для ускорения достижения их целей и усложняет обнаружение их присутствия.

«Credential Access — один из самых эффективных инструментов в арсенале атакующих, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center . — Получив доступ хотя бы к одному сетевому узлу, они применяют отлаженный сценарий для дальнейшего продвижения в инфраструктуре. Злоумышленники получают содержимое памяти процессов или файлов и используют полученные оттуда учетные данные для доступа к другим системам. Остановить такое продвижение может только своевременная реакция команды ИБ, обнаружившей применение техник кражи учетных данных, и сегментация сети».

Новый пакет экспертизы нацелен на выявление трех распространенных техник кражи учетных данных:

· Credential Dumping — получение учетных данных из дампа памяти системных служб Windows или стороннего ПО. Пароли могут храниться в открытом виде или в виде контрольной суммы.

· Credentials in Files — поиск учетных данных в файловой системе или в общих папках. Например, такие данные могут содержаться в файлах, созданных самими пользователями, или в конфигурационных файлах ПО. Также учетные данные могут сохраняться на контроллерах домена, в файлах предпочтений групповой политики (GPP).

· Credentials in Registry — поиск учетных данных в реестре Windows. В разделах реестра могут храниться учетные данные для автоматического ввода в ОС или стороннем ПО.

К техникам получения учетных данных относится также брутфорс. Правила для его выявления были загружены в MaxPatrol SIEM отдельным пакетом экспертизы в начале года.

[1] Первый пакет экспертизы данной серии был нацелен на выявление активности злоумышленников с использованием тактик Execution (Выполнение) и Defense Evasion (Обход защиты) , второй — на выявление горизонтального перемещения атакующих по инфраструктуре , третий — на выявление атак с тактикой «Закрепление» .

[2] База знаний с описанием тактик, техник и процедур атак злоумышленников.


Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение