MaxPatrol SIEM выявляет попытки закрепления по модели MITRE ATT&CK

MaxPatrol SIEM выявляет попытки закрепления по модели MITRE ATT&CK

В MaxPatrol SIEM загружен новый пакет экспертизы: правила корреляции событий ИБ в его составе направлены на выявление активности злоумышленников с использованием тактик Execution («Выполнение») и Defense Evasion («Обход защиты») по модели MITRE ATT&CK для операционной системы Windows. Теперь пользователи MaxPatrol SIEM могут обнаружить активные действия злоумышленника после проникновения его в инфраструктуру.

MITRE ATT&CK — база знаний с описанием тактик, техник и процедур атак злоумышленников. Специалисты экспертного центра безопасности Positive Technologies (PT Security Expert Center) создадут специальную серию пакетов экспертизы для MaxPatrol SIEM, каждый из которых выявляет атаки с применением одной или нескольких тактик в соответствии с матрицей ATT&CK for Enterprise. В планах PT Expert Security Center — постепенно покрыть все 12 тактик матрицы.

Первый пакет из серии включает 15 правил корреляции событий ИБ, помогающих выявить наиболее актуальные техники атак, присущие тактикам «Выполнение» и «Обход защиты». В тактику «Выполнение» входят техники, которые злоумышленники применяют для выполнения кода в скомпрометированных системах. Они используются, среди прочего, для горизонтального перемещения, чтобы расширить доступ к удаленным системам в сети. Тактика «Обход защиты» объединяет техники, с помощью которых злоумышленник может скрыть вредоносную активность и избежать обнаружения средствами защиты.

«Классические SIEM-системы не способны выявлять атаки злоумышленников, в которых используются эксплойты нулевого дня, поэтому их целесообразнее "ловить" на последующих этапах атаки, — комментируетАлексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Классическим шагом злоумышленников является выполнение вредоносного кода и попытки обхода средств средств защиты для успешного достижения своих целей. Поэтому в первую очередь мы подготовили пакет экспертизы, покрывающий тактики "Выполнение" и "Обход защиты" по модели MITRE ATT&CK. Как правило, эти тактики используются на этапах проникновения злоумышленника в инфраструктуру».

Правила корреляции, среди прочего, выявляют техники с применением метода living off the land (LOTL): когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Такой метод все чаще используют APT-группировки; например, группировки Cobalt Group и MuddyWater использовали встроенную в Windows утилиту «Установщик профилей диспетчера подключений» для запуска вредоносного ПО. Метод LOTL позволяет действовать под видом легитимной работы системного администратора, что снижает вероятность обнаружения атаки традиционными средствами безопасности и, следовательно, ее блокировки.

До конца 2019 года в MaxPatrol SIEM будут загружены пакеты экспертизы для выявления тактик получения первоначального доступа (Initial Access), закрепления (Persistence), получения учетных данных (Credential Access) и горизонтального перемещения (Lateral Movement). Все пакеты экспертизы будут пополняться правилами по мере обнаружения новых техник, тактик и процедур атак.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

За последними атаками на власти в Европе могут стоять турецкие хакеры

За масштабными кибератаками, поразившими органы власти и организации в Европе и на Среднем Востоке, могут стоять хакеры, действующие в интересах правительства Турции. К такому выводу пришли западные специалисты в области безопасности.

По имеющимся данным, киберпреступники атаковали по меньшей мере 30 организаций, в числе которых были госструктуры и посольства. Также среди жертв отмечаются греческие сервисы электронной почты и советник по вопросам национальной безопасности Ирака.

В ходе атак преступники перехватывали трафик к сайтам своих целей, что позволило получить доступ к сетям правительственных организаций. Специалисты в области кибербезопасности из США и Великобритании нашли связь этих киберопераций с группировкой, действующей в интересах турецких властей.

Эксперты утверждают, что их выводы строились на трёх показателях: личность и местоположение жертв (геополитически важные для Турции), схожесть с прошлыми атаками и используемая инфраструктура, зарегистрированная в Турции.

При этом исследователи отметили: на данном этапе не совсем ясно, какие именно люди или организации стоят за атаками, однако есть основания полагать, что оператор у всех кампаний был один и тот же — использовались те же серверы и другая инфраструктура.

Министерство внутренних дел Турции пока никак не отреагировало на данные заявления.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru