Новый пакет экспертизы MaxPatrol SIEM помогает обнаружить еще две тактики развития атаки киберпреступниками

В систему выявления инцидентов MaxPatrol SIEM загружен новый пакет экспертизы [1] , позволяющий выявлять злоумышленников на этапе, когда они связываются с атакованными машинами или пытаются повысить привилегии в системе до уровня администратора, чтобы развивать атаку.

Правила, вошедшие в состав девятнадцатого пакета экспертизы, детектируют применение техник «Повышение привилегий» (privilege escalation) и «Управление и контроль» (сommand and control) по модели MITRE ATT&CK [2] . Текущий пакет экспертизы — это шестой пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик.

«Применение техник повышения привилегий говорит о попытках злоумышленников получить в атакуемой системе разрешения более высокого уровня. Для этого они эксплуатируют ошибки конфигурации и уязвимости. Техники "Управление и контроль" применяются тогда, когда атакующим нужно связаться с подконтрольными системами в сети жертвы, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов безопасности Positive Technologies (PT Expert Security Center). — Чтобы скрыть следы, злоумышленники имитируют обычное поведение в трафике, используют встроенные инструменты операционных систем. Новый пакет экспертизы поможет специалистам обнаружить эти действия и вовремя принять меры».

Пакет экспертизы включает в себя правила детектирования, которые помогают выявить следующие подозрительные действия: создание зловредной библиотеки, запуск исполняемых файлов от имени другого пользователя, запуск командной строки от имени системы, загрузку и запуск вредоносного ПО, проксирование портов, нелегитимное интернет-соединение, идущее от исполняемых файлов. Своевременное выявление этих действий позволит предотвратить дальнейшее продвижение злоумышленников и не даст им закрепиться в инфраструктуре.

Также эксперты Positive Technologies обновили пакеты экспертизы, покрывающие тактики выполнения (execution) и закрепления (persistence). Теперь пользователи смогут выявлять попытки использования злоумышленниками стандартных приложений Windows для нелегитимных действий и подмены или модификации исполняемого файла.

[1] В MaxPatrol SIEM доступны 19 пакетов экспертизы, которые содержат 383 правила обнаружения атак. Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base, которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.

[2] База знаний с описанием тактик, техник и процедур атак злоумышленников.