Система мониторинга событий информационной безопасности MaxPatrol SIEM получила обновление ранее загруженных пакетов экспертизы для выявления техник сокрытия злоумышленников и признаков работы популярных хакерских инструментов. Правила детектирования нацелены на обнаружение продвинутых1 методов маскировки киберпреступников в инфраструктуре и активности фреймворков, часто используемых в целевых атаках.
Злоумышленники постоянно модифицируют свои инструменты, техники и методы атак, а также разрабатывают новые способы обхода средств защиты и сокрытия своего присутствия в инфраструктуре скомпрометированных компаний. MaxPatrol SIEM включил 42 новых правила, добавленные в ранее загруженные пакеты экспертизы. Они позволяют пользователям MaxPatrol SIEM выявлять наиболее актуальные техники атак и способы маскировки вредоносной активности. Среди них, в частности:
- применение фреймворка Cobalt Strike: используется злоумышленниками для управления захваченной инфраструктурой — пост-эксплуатации уязвимостей, горизонтального перемещения внутри сети организации, закрепления на ресурсах и развития присутствия;
- скрытое подключение к сессии Shadow RDP: используется атакующими для наблюдения за действиями пользователей во время RDP-сессии с целью получения данных (например, чтобы определить, как человек работает и какие характерные риски можно выполнить);
- новые и менее известные техники получения доступа киберпреступников к процессу lsass.exe, где хранятся учетные данные;
- техники тактики «Перемещение внутри периметра» по модели MITRE ATT&CK: злоумышленники используют их для получения доступа и управления удаленными системами в сети, установки вредоносных программ и постепенного расширения присутствия в инфраструктуре.
«Техники и инструменты атакующих активно развиваются, а вместе с ними и средства защиты, которые необходимо регулярно пополнять актуальной экспертизой для противодействия новым способам атак. Наши исследования киберугроз и популярных хакерских фреймворков показывают, что злоумышленники сегодня уделяют все больше внимания маскировке: хорошо зная современные методы детектирования, они изобретают новые, которые максимально усложняют обнаружение вредоносной активности. А значит, требуется глубже и тщательнее изучать события ИБ, чем раньше, — комментирует Кирилл Кирьянов, ведущий специалист отдела экспертных сервисов развития экспертного центра безопасности Positive Technologies (PT ESC). — Например, событие Sysmon 10 свидетельствует о том, что атакующие пытаются получить учетные данные через доступ к памяти процесса lsass.exe. Чтобы выявить данную киберугрозу, средства ИБ затачивают исключительно под ловлю этого события. Однако сегодня злоумышленники модернизировали техники получения доступа к этому процессу так, чтобы исключить прямое обращение к памяти lsass.exe и генерацию события Sysmon 10. Такие, скажем, продвинутые техники уже невозможно обнаружить классическими способами, поэтому мы написали дополнительные правила, покрывающие новые методы сокрытия. Обновления помогут пользователям MaxPatrol SIEM своевременно выявить подозрительную активность и предотвратить развитие атаки».
Чтобы начать использовать добавленные правила, нужно обновить продукт до версии 7.0 и установить правила из пакета экспертизы.
- В данном случае «продвинутые» — это те техники, которые ранее не использовались в проектах red team или APT-группировками (advanced persistent threat — сложная целенаправленная атака), но используются атакующими с целью скрыться от средств защиты.