MaxPatrol SIEM обнаруживает работу популярных хакерских инструментов

MaxPatrol SIEM обнаруживает работу популярных хакерских инструментов

В MaxPatrol SIEM загружен очередной (пятнадцатый) пакет экспертизы с 55 правилами для выявления признаков работы распространенных инструментов киберпреступников. Правила детектирования нацелены на обнаружение многофункциональных инструментов — фреймворков, часто используемых злоумышленниками, в том числе в целевых атаках. Пакет экспертизы поможет пользователям MaxPatrol SIEM выявлять активные действия злоумышленников в сети до достижения ими целей атаки.

Злоумышленники используют фреймворки для выполнения задач на разных этапах атаки, от получения доступа в сеть до кражи данных и воздействия на инфраструктуру. Для этого фреймворки могут задействовать встроенные утилиты операционных систем или запускать собственные зловредные модули.

Правила в составе пакета экспертизы детектируют активность отдельных модулей распространенных инструментов. В частности, среди этих инструментов Cobalt Strike (используется злоумышленниками для скрытой коммуникации, проведения фишинговых атак и атак через веб-приложения, для закрепления на ресурсах и развития присутствия внутри сети; группировка Cobalt с его помощью атаковала банки), Koadic и Sliver (свободно распространяемое ПО с большим набором функций, от удаленного выполнения команд до повышения привилегий), SharpSploit (набор инструментов для постэксплуатации), SharpWMI (ПО, которое использует механизм Windows Management Instrumentation для удаленного выполнения команд через подписки на события WMI), Rubeus (инструмент для атак на инфраструктуру, использующую протокол Kerberos для аутентификации).

«Наши исследования хакерских фреймворков показывают, что в одном инструменте могут сочетаться несколько подходов, которые усложняют детектирование его работы, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center. — Один из популярных методов атак — living off the land, когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Второй метод, набирающий популярность, — bring your own land, когда атакующие создают и доставляют на взломанный узел свои собственные инструменты. Мы учли эти методы при разработке правил детектирования, которые выявляют активность хакерских инструментов на разных этапах, в том числе в момент запуска их модулей или отправки команд».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Нейробраузер Яндекса ежедневно пресекает 1,5 млн визитов к фишерам

С начала тестирования обновленный Яндекс Браузер выявил более 400 тыс. мошеннических сайтов. Встроенная нейросеть позволяет ежедневно фиксировать 1,5 млн попыток перехода на фишинговые ресурсы, в 90% случаев юзер при этом использует телефон.

Проверка сайтов теперь осуществляется в реальном времени. При подозрении на фишинг Браузер запускает глубокий анализ с привлечением серверов «Яндекса». Ресурс проверяется по сотням параметров: когда создан, на кого зарегистрирован, как часто посещается и каким способом (по ссылкам или напрямую), появляется ли в поисковой выдаче и т. п.

Данные пользователей и текстовое содержимое страниц при этом на серверы не передаются. Комплексная проверка длится менее 0,01 секунды; если сайт опасен, пользователю выводится предупреждение.

Ранее такая защита работала иначе. Фишинговые сайты отыскивал в Сети поисковый робот «Яндекса», заходя на сомнительные страницы по несколько раз в сутки. Оценка производилась с помощью ML-моделей на сервере; опасные ресурсы заносились в базу, и Браузер с ней сверялся каждый раз, когда пользователь заходил на новый ресурс.

Весь процесс занимал много времени, от нескольких часов до суток. Столько в среднем и живут фишинговые сайты, и солидное количество по этой причине не попадало в базу «Яндекса».

Теперь клиентская нейросеть помогает выявлять не только ловушки-однодневки, но также новые приманки фишеров — такие как фейки приложений подсанкционных банков и платформ для работы с криптобиржами.

Каждый месяц через Яндекс Браузер в Сеть выходят свыше 85 млн человек. Запуск версии со встроенными нейросетями состоялся в прошлом месяце. Новые функции доступны на десктопах Windows, macOS, Linux, а также на мобильных устройствах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru