В систему мониторинга событий информационной безопасности MaxPatrol SIEM загружены новые правила обнаружения атак. Апдейты получили четыре пакета экспертизы: «Атаки на Microsoft Active Directory», «Тактики „Повышение привилегий“ и „Организация управления“ (MITRE ATT&CK)», «Атаки с помощью специализированного ПО» и «Тактика „Закрепление“ (MITRE ATT&CK)».
В рамках обновления в MaxPatrol SIEM было добавлено 31 новое правило. «Наиболее важные правила в опубликованных обновлениях связаны, пожалуй, с обнаружением атак на Microsoft Active Directory, — рассказала Юлия Фомина, старший специалист отдела обнаружения атак, Positive Technologies. — С подобными угрозами компании сталкиваются каждый день, их активно используют атакующие. В обновление также вошли правила выявления тех техник, которые применяются атакующими уже долгое время и не теряют своей актуальности».
Загруженные в MaxPatrol SIEM обновления пакетов экспертизы помогут выявить:
- Атаки на Microsoft Active Directory, которые позволяют злоумышленникам получить максимальные права в доменной инфраструктуре. Проблемы Microsoft Active Directory эксплуатируются атакующими в реальной жизни, в частности, с весны 2022 года осуществляются атаки на службу сертификации (Active Directory Certificate Services, AD CS). Атакующие имеют возможность эксплуатации даже при установленных патчах, если шаблоны сертификатов настроены некорректно. Новые правила выявляют подобные атаки на всех стадиях: некорректная конфигурация шаблонов, эксплуатация и последующее использование полученного сертификата для дальнейшего горизонтального перемещения по инфраструктуре.
- Эксплуатацию уязвимости Kerberos Relay в Microsoft Active Directory. Эта уязвимость использует особенности протокола доменной аутентификации Kerberos, чтобы повысить права на любом доменном компьютере (от непривилегированной учетной записи до системных прав) и закрепиться в системе. Для детектирования этой активности в MaxPatrol SIEM загружены два новых правила.
- Классическую атаку Silver Ticket на протокол Kerberos. Для детектирования таких атак в систему добавлено правило с новым способом обнаружения: по результатам ряда проведенных проектов red team и пентестов эксперты Positive Technologies нашли определенные аномалии в аутентификациях пользователей по протоколу Kerberos.
- Эксплуатацию известной серии уязвимостей, получившей название Potato Vulnerabilities: Juicy Potato, MultiPotato, Remote Potato, Rogue Potato — это одно семейство уязвимостей, эксплуатация которых позволяет злоумышленникам повысить привилегии от сервисной учетной записи до системных прав.
- Манипуляции с токенами для повышения привилегий в системе.
- Эксплуатацию уязвимостей в службе печати Windows (CVE-2022-21999 и CVE-2022-30206), позволяющих атакующим повысить привилегии.
- Использование классического метода повышения привилегий до системного уровня при наличии прав локального администратора — повышение через именованные каналы. Этот метод атаки по умолчанию предлагают такие фреймворки, как Cobalt Strike, Metasploit, Empire.
Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версий 7.0 или 7.1 и установить правила из пакета экспертизы.