MaxPatrol SIEM теперь выявляет атаки с тактикой Закрепление

Олег Иванов 26 Сентября 2019 - 18:05

...

MaxPatrol SIEM теперь выявляет атаки с тактикой Закрепление

В MaxPatrol SIEM загружен пакет экспертизы, предназначенный для выявления атак с применением тактик модели MITRE ATT&CK: теперь система сможет выявлять атаки с тактикой «Закрепление». Новые правила корреляции позволяют обнаруживать попытки закрепления атакующих в скомпрометированной Windows-инфраструктуре и таким образом не дать злоумышленникам получить постоянный доступ к сети.

Злоумышленники используют тактику закрепления для поддержания постоянного присутствия в атакуемой системе: им нужно быть уверенными, что даже после перезапуска системы или смены учетных данных их скрытый удаленный доступ будет работать. Так они смогут в любое время контролировать скомпрометированную систему, продвигаться по инфраструктуре и достигать своих целей.

В очередной пакет экспертизы вошли 16 правил корреляции, которые помогают выявить наиболее актуальные техники закрепления — нелегитимное создание учетных записей, установку и запуск средств удаленного доступа, внесение изменений в конфигурацию атакуемой системы, подписку на события в системе и выполнение вредоносного кода, когда такие события происходят.

Это третий пакет экспертизы из специальной серии для покрытия всех 12 тактик матрицы MITRE ATT&CK. До конца 2019 года экспертиза дополнится пакетами, нацеленными на выявление активности злоумышленников на этапах получения учетных данных (Credential Access) и разведки (Discovery).

«Наши расследования показывают, что злоумышленники могут оставаться незамеченными в скомпрометированной инфраструктуре годами. Зафиксированный нами рекорд – более 8 лет. Нередко в течение всего этого срока злоумышленники отслеживают почтовую переписку компании, собирают важные документы с закрытых сетевых ресурсов, — рассказывает Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center. — Именно для того, чтобы кардинально сократить время присутствия атакующего в чужой инфраструктуре, и был разработан этот набор правил корреляции».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 19 Ноября 2025 - 10:34

Мошенничество Соответствие законодательству РФ Общее

Московский суд приговорил топов ЗащитаИнфоТранс за мошенничество

Симоновский суд Москвы вынес приговор по делу Юрия Спасского, Виктора Парахина и Романа Лаврентьева. Все трое признаны виновными в мошенничестве в особо крупном размере и на момент расследования занимали руководящие должности в подведомственной Минтрансу компании «ЗащитаИнфоТранс».

Юрий Спасский руководил организацией, Виктор Парахин был его заместителем, а Роман Лаврентьев занимал должность заместителя начальника департамента ИТ.

Уголовное дело о хищении средств, выделенных на мероприятия по противодействию распространению коронавирусной инфекции на транспорте, возбудили ещё в 2021 году.

По версии следствия, фигуранты направили запрос на дополнительное финансирование доработок Единой государственной информационной системы обеспечения транспортной безопасности (ЕГИС ОТБ), разработанной и обслуживаемой «ЗащитаИнфоТранс». Минцифры отклонило заявку.

После этого новый запрос был подан уже от имени подконтрольных обвиняемым компаний «Вектор Технологии» и «Статус Комплайнс». Они подготовили предложения по модернизации ЕГИС на 106 млн рублей и оказанию информационных услуг на 93 млн рублей. Впоследствии общая сумма была снижена до 100 млн рублей, и эта заявка уже была одобрена.

Однако, по данным следствия, фактически никакие работы выполнены не были. Тем не менее в декабре 2020 года были оформлены предварительные испытания и подписаны акты сдачи-приёмки якобы выполненных услуг. В результате, как указывает «Коммерсантъ», сотрудники присвоили «не менее 50 млн рублей». По данным РБК, ссылающегося на Следственный комитет, сумма хищения составила 60 млн рублей.

Судебное разбирательство началось в марте. Все обвиняемые находились под стражей, однако позже Юрия Спасского освободили из изолятора, назначив ему запрет определённых действий.

Ни один из фигурантов свою вину не признал. РБК приводит слова Виктора Парахина, который объяснял необходимость модернизации ЕГИС ОТБ резким ростом нагрузки во время пандемии. Юрий Спасский утверждал, что работа велась в «тяжелейших условиях» в полностью удалённом режиме и находилась под контролем в том числе ФСБ.

Судья Ольга Величко признала всех троих виновными по ч. 4 ст. 159 УК РФ (мошенничество в особо крупном размере). Спасскому и Парахину назначено по 7,5 лет лишения свободы и штраф по 800 тыс. рублей. Лаврентьев получил 6,5 лет и штраф 600 тыс. рублей. Отбывать наказание они будут в колонии общего режима.

Адвокаты осуждённых заявили «Коммерсанту», что планируют обжаловать приговор.