Новая версия MaxPatrol SIEM выявляет угрозы класса WannaCry и NotPetya

Новая версия MaxPatrol SIEM выявляет угрозы класса WannaCry и NotPetya

Новая версия MaxPatrol SIEM выявляет угрозы класса WannaCry и NotPetya

Компания Positive Technologies представила новую версию MaxPatrol SIEM — системы, предназначенной для выявления инцидентов ИБ в реальном времени. Обновленные механизмы продукта оперативно обнаруживают и локализуют эпидемии типа WannaCry и NotPetya.

Пользователи системы также могут создавать стойкие и растянутые во времени правила корреляции, что позволяет обнаружить даже многолетние APT-атаки несмотря на изменения в IТ-инфраструктуре компании.

«За последние пару месяцев жертвами вирусов-вымогателей стали сотни компаний по всему миру: автозаводы, банки, розничные сети, фармацевтические и судоходные компании. Мы стараемся оперативно реагировать на подобные события, поэтому основные изменения в новой версии MaxPatrol SIEM связаны с обнаружением и локализацией эпидемий криптолокеров. Новые технологии проверки сетевой достижимости, гибкой работы с активами и событиями сетевого взаимодействия позволят значительно проще выявлять любые угрозы такого типа. Кроме того, наши эксперты оперативно создали соответствующие правила корреляции для обнаружения атак WannaCry и NotPetya», —отметил директор по развитию бизнеса в России Positive Technologies Максим Филиппов.

Распознавание активов с новыми параметрами

Новый алгоритм идентификации аппаратных и программных элементов IТ-инфраструктуры (активов) учитывает десятки параметров актива и дает им разный «вес». В результате MaxPatrol SIEM распознает актив даже после изменения IP-адреса, MAC-адреса, hostname или других параметров, что особенно важно при использовании DHCP-сервера и работе за NAT. Таким образом, MaxPatrol SIEM теперь строит еще более точную модель IТ-инфраструктуры и позволяет создавать стойкие правила корреляции.

Локализация очагов эпидемий

Реализованная в новой версии MaxPatrol SIEM технология проверки сетевой достижимости позволит быстро понять, доступны ли тот или иной узел или сеть, с точностью до протокола и порта. И если в большой территориально распределенной сети началась эпидемия вируса и известны варианты его распространения, например определенные порты, администратор сможет быстро локализовать очаг и сохранить информацию на десятках тысяч компьютеров — либо убедиться, что критической инфраструктуре предприятия эпидемия этого вируса не угрожает.

«Для противодействия атакам типа WannaCry или NotPetya необходимо следовать прописным истинам, содержащимся в каждой политике безопасности: сегментация сети, фильтрация по протоколам и т. п. Но действительность вносит в эти правила свои коррективы, и на практике нередко оказывается, что там, где по данным ИБ-службы доступа нет, трафик "гуялет" без каких-либо ограничений, — объясняет Владимир Бенгин, директор департамента поддержки продаж Positive Technologies. — А в результате, как это было во время эпидемии NotPetya, сотрудники служб безопасности, изучая информацию о новой угрозе и будучи уверены, что связи по протоколу SMB между головной компанией и ее дочерними подразделениями нет, — ошибаются в выборе контрмер и вынуждены сражаться уже с последствиями инцидента».

MaxPatrol SIEM не только представит актуальные маршруты до искомого актива на карте сети, но и подсветит все доступные альтернативы. Это позволит быстро обнаружить ошибки в конфигурации сетевых устройств и не допустить нарушения политик доступа. Кроме того, для проверки наличия в сети зараженных WannaCry или NotPetya узлов достаточно нескольких секунд за счет новой функции группировки сетевых событий по нескольким признакам (например, по отправителям и получателям пакетов на порт 445, за исключением файловых серверов общего доступа).

Группировка активов по сложным правилам

MaxPatrol SIEM теперь позволяет формировать динамические группы активов по правилам, включающим логику И, ИЛИ, НЕ, и настраивать на них точные правила корреляции для обнаружения инцидентов ИБ и реагирования на них. Например, можно создать группу подверженных уязвимости WannaCry активов, добавив три условия: наличие уязвимости CVE-2017-0145 и открытых портов 139 или 445, а также отсутствие антивируса на узле.

Выявление APT за счет растянутых во времени корреляций

В новой версии MaxPatrol SIEM можно создавать табличные списки, которые существенно расширяют возможности привнесения экспертизы Positive Technologies в продукт. Теперь инциденты ИБ могут выявляться на основе сложных корреляций длиной до нескольких лет, что особенно важно для обнаружения advanced persistent threats, при которых среднее «время жизни» злоумышленника в организации составляет 3 года.

Помимо новых возможностей по выявлению и анализу инцидентов, система получила множественные улучшения в интерфейсе и стала значительно удобнее в работе. Появились новые виджеты с возможностью просмотра подробной информации по двойному щелчку мыши, отображение событий на топологии IТ-инфраструктуры, выгрузка карты сети в векторном и растровом форматах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru