PT NAD 11 получил новый модуль поведенческого анализа трафика

PT NAD 11 получил новый модуль поведенческого анализа трафика

PT NAD 11 получил новый модуль поведенческого анализа трафика

Positive Technologies представила PT Network Attack Discovery версии 11. Главное в релизе — выявление еще большего (+20%) количества актуальных киберугроз с помощью нового модуля поведенческого анализа трафика. В частности, продукт обнаруживает атаку Kerberoasting, DNS-туннели, удаленное выполнение команд в Windows, а также брутфорс и спреинг паролей. PT NAD 11 теперь можно установить на российскую операционную систему Astra Linux и развернуть всего за 15 минут.

«Классические средства сетевой защиты (IPS, NGFW) используют для выявления атак преимущественно сигнатурные методы и индикаторы компрометации. Они подходят для защиты периметра сети от известных атак, но зачастую бесполезны для выявления целенаправленных атак и злоумышленников, уже находящихся в сети компании. Для этих целей нужно использовать более сложные алгоритмы, основанные на профилировании и анализе поведения. Используя эти подходы и нашу уникальную экспертизу, мы постоянно улучшаем возможности PT NAD и автоматизируем выявление сложных угроз, тем самым облегчая работу специалистов по ИБ», — комментирует Дмитрий Ефанов, руководитель разработки PT Network Attack Discovery, PositiveTechnologies.

Детектирует еще больше атак

PT NAD 11 выявляет технику Kerberoasting. Работы по анализу защищенности российских компаний, проведенные экспертами Positive Technologies, показывают, что в каждой второй компании применение данной техники позволяет злоумышленнику развить атаку и получить учетные данные. Опасность Kerberoasting состоит в том, что на первом этапе атаки, когда злоумышленники запрашивают доступы к различным сервисам, активность отображается как легитимная, а второй этап — брутфорс для получения паролей к собранным доступам — осуществляется локально, на стороне атакующих. Из-за этого вероятность обнаружения данной атаки сигнатурными методами крайне низка.

«PT NAD стал проще в работе, — рассказывает Алексей Леднев, руководитель отдела экспертных сервисов и развития SOC компании Positive Technologies. — Простое детектирование с помощью правил и индикаторов компрометации мы дополняем более продвинутыми инструментами: модулями аналитики, инструментами machine learning, сбором статистики и обучением продукта на ее данных. Все это для того, чтобы специалист по ИБ мог без дополнительного исследования за мгновение взглянуть в ленту активностей и понять: это действия злоумышленника или обычного пользователя? А освободившееся время, которое раньше он тратил на проверку срабатываний, можно посвятить более прогрессивным задачам, например проактивному поиску угроз (threat hunting)».

Согласно результатам тестов на проникновение, проведенных PositiveTechnologies во второй половине 2020 – начале 2021 года, злоумышленник может преодолеть сетевой периметр большинства компаний с помощью подбора паролей, в том числе путем прямого перебора и спреинга. С помощью анализа поведения PT NAD эффективнее обнаруживает попытки взлома учетных записей путем подбора логина и пароля (брутфорса), в том числе путем подбора учетной записи к слабому паролю (спреинга). В новую версию PT NAD также добавлен универсальный модуль для обнаружения DNS-туннелей любых типов, будь то самописный хакерский инструмент или утилита с GitHub. Модуль помогает быстрее выявлять атакующих в сети и своевременно останавливать их на пути к реализации недопустимых событий, которые каждая компания определяет для себя сама.

Кроме того, теперь PT NAD детектирует такую активность, как создание новых служб и задач планировщика Windows для тактик удаленного выполнения команд и перемещения внутри периметра. Новый модуль аналитики в PT NAD покрывает случаи с открытым и шифрованным трафиком. В случае генерации шифрованного трафика система определяет такую активность как отклонение от профиля и подсвечивает для оператора конкретный компьютер и пользователя, от которого она исходит.

Исключение для ленты активностей

В продукте появилась возможность добавлять исключения для модулей обнаружения угроз. Теперь оператор может более детально настроить детекты и анализировать максимально релевантные срабатывания. Это помогает обратить внимание на актуальные события и не тратить время на разбор инцидентов, не представляющих опасности. Лента активностей, задача которой фокусировать внимание пользователей PT NAD на важных киберугрозах и помогать отслеживать реагирование на них, в новом релизе стала удобнее для пользователя.

Интеграция c другими системами

Начиная с версии 11 события из ленты активности PT NAD можно просматривать в интерфейсе системы мониторинга событий информационной безопасности MaxPatrol SIEM. Для компаний, которые используют SIEM-решения других разработчиков, были добавлены механизмы интеграции с помощью syslog, webhook и ряд других. Благодаря этим механизмам можно настроить передачу срабатываний репутационных списков, правил и событий из ленты активностей в сторонние системы. Они также позволяют гибко кастомизировать PT NAD, к примеру интегрировав его с Telegram (для этого необходимо написать код).

Еще одно важное нововведение — расширение контекста уведомлений в ленте. Теперь оператор получает больше данных об интересующей его активности: например, в оповещении, помимо детекта трафика по определенному фильтру, указываются узлы, на которых этот трафик возник, клиенты-серверы и другой необходимый контекст.

Поддержка Astra Linux и установка за 15 минут

Реализована поддержка Astra Linux, что особенно актуально для органов власти, госкорпораций, субъектов КИИ и других российских компаний, переходящих, как сообщают СМИ, на данную ОС в рамках импортозамещения. Кроме того, установка PT NAD теперь происходит легче и быстрее: добавление в новую версию простого в использовании односерверного инсталлятора позволило сократить время развертывания c двух часов до 15 минут, а также проводить установку без подключения к интернету. Теперь можно устанавливать и использовать PT NAD в любых компаниях, даже там, где подключение к внешней сети запрещено регламентами.Среди других улучшений, облегчающих работу с продуктом, — мониторинг «из коробки» для отслеживания производительности PT NAD, возможность присвоения узлам пользовательских имен вместо доменных и обновленные сводки по узлам.

PT NAD 11 будет доступен для пользователей с 15 ноября, заявку на пилотный проект можно оставить уже сейчас. Действующие пользователи смогут обновить версию продукта через техническую поддержку.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru