MaxPatrol SIEM теперь выявляет атакующих на этапе сбора данных
Главная » Новости

MaxPatrol SIEM теперь выявляет атакующих на этапе сбора данных

Олег Иванов 28 Января 2020 - 17:35
...
MaxPatrol SIEM теперь выявляет атакующих на этапе сбора данных

Пользователи системы MaxPatrol SIEM теперь могут выявлять злоумышленников на этапе, когда они собирают данные о скомпрометированной сети, чтобы развивать свою атаку. Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK.

После получения постоянного доступа к сети жертвы злоумышленникам требуется определить, где в инфраструктуре они находятся, что их окружает и что они могут контролировать. Во время разведки атакующие собирают данные о скомпрометированной системе и внутренней сети, и это помогает им сориентироваться, чтобы решить, как действовать дальше. Для этого злоумышленники часто используют встроенные инструменты операционных систем.

Новый пакет экспертизы включает в себя правила детектирования 15 популярных техник разведки. Теперь пользователи смогут обнаружить активность злоумышленников еще во время их попыток получить список учетных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты.

«Отличить активность атакующих, которые проводят разведку, от легитимных запросов обычных пользователей непросто, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center. — Если злоумышленники действуют под учетной записью реального пользователя и используют встроенные утилиты, то их активность, как правило, теряется в потоке событий. Новый пакет экспертизы поможет обратить внимание специалистов по ИБ на события, которые на первый взгляд могут не вызывать подозрений».

Пакет экспертизы, посвященный тактике «Разведка» (Discovery), — это пятый пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик. Пакеты, ранее загруженные в MaxPatrol SIEM, продолжают пополняться правилами по мере появления новых способов обнаружения атак. Так, одновременно с выходом пятого пакета экспертизы первый пакет из серии получил 14 правил корреляции для выявления техник выполнения кода и обхода защиты.

Следующая главная новость »
AM LiveКибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Мессенджер МАКС загружает процессор MacBook на 94%, жалуются юзеры
Екатерина Быстрова 11 Июня 2026 - 12:05
macOS Ошибки конфигурации программ Домашние пользователи
Мессенджер МАКС загружает процессор MacBook на 94%, жалуются юзеры

Телеграм-канал «Провод» опубликовал историю одного из пользователей, который решил проверить, что происходит с его MacBook. Судя по опубликованному скриншоту, главным подозреваемым в загрузке процессора оказался российский мессенджер МАКС.

По словам автора, приложение умудрилось загрузить процессор почти до предела.

В статистике системы указано, что процесс МАКС потреблял до 94% одного ядра процессора. Для сравнения, большинство популярных мессенджеров обычно ограничиваются нагрузкой в пределах 10-30%.

Пользователь утверждает, что приложение продолжало расходовать заряд аккумулятора и нагревать устройство даже в фоновом режиме. Согласно данным системного мониторинга, за время работы МАКС накопил около 33 часов фоновой активности.

 

 

Особое внимание автора привлекла ещё одна цифра — более 1,15 ГБ данных, прочитанных приложением с диска. Что именно мессенджер так активно считывал, остаётся неизвестным.

Впрочем, пока речь идёт лишь об отдельных сообщениях пользователей. Разработчики МАКС ситуацию официально не комментировали, а независимого технического анализа работы приложения на момент публикации не появилось.

AM LiveКибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!
iPhone будут сами блокироваться, если их вырвали из рук
Новость
iPhone будут сами блокироваться, если их вырвали из рук
WhatsApp для Windows мог запускать вредоносные файлы под видом документов
Новость
WhatsApp для Windows мог запускать вредоносные файлы под вид...
Мошенники продают билеты на фейковые шоу с распаковкой авто
Новость
Мошенники продают билеты на фейковые шоу с распаковкой авто

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.