Новый механизм в MaxPatrol SIEM автоматизирует построение цепочек процессов

Новый механизм в MaxPatrol SIEM автоматизирует построение цепочек процессов

Новый механизм в MaxPatrol SIEM автоматизирует построение цепочек процессов

Новый пакет экспертизы MaxPatrol SIEM, включающий механизм построения цепочек запускаемых процессов, позволяет аналитикам ИБ экономить до 5-10 минут на анализе срабатывания каждого правила корреляции. Разработанный экспертами Positive Technologies механизм автоматически обогащает любое скоррелированное событие, которое содержит имя и идентификатор процесса, его полной цепочкой. Дополнительный контекст, помогающий эффективнее выявлять активность злоумышленников, отображается в карточке события.

В SIEM-системах большое количество правил детектирования основано на событиях, в которых есть информация о старте процесса. При верификации срабатываний операторы много времени затрачивают на «раскручивание» цепочек запускаемых процессов. Помимо самого подозрительного процесса, они также анализируют и те, которые породили его и запустили в дальнейшем.

Новый механизм в MaxPatrol SIEM автоматизирует задачи по построению цепочек процессов, что существенно облегчает работу аналитиков ИБ. Если ранее оператору приходилось делать порядка пяти-шести запросов в SIEM-системе, чтобы выяснить последовательность запуска связанных между собой процессов, то сейчас цепочки собираются автоматически и выводятся в специальном поле в карточке события.

Продукт обнаруживает подозрительную активность, инициированную мессенджерами (Telegram, Skype, WhatsApp (принадлежит компании Meta, которая признана экстремистской и запрещена в РФ), Microsoft Teams), веб-серверами, приложениями Microsoft Office, антивирусными программами, например Kaspersky Security Center, и агентами SCCM, которые обеспечивают централизованное управление конфигурациями в IT-инфраструктуре.

Кроме того, эксперты Positive Technologies обновили пакеты экспертизы для обнаружения атак по модели MITRE ATT&CK. Добавленные в MaxPatrol SIEM правила позволяют выявлять:

  • применение техник LSASS Shtinkering (метод дампа памяти процесса LSASS с использованием службы регистрации ошибок Windows) и Dirty Vanity (метод внедрения кода для обхода средств защиты на конечных точках). Вредоносные техники появились в арсенале злоумышленников в декабре 2022 года;
  • эксплуатацию уязвимости в алгоритме шифрования RC4, позволяющую получить удаленный доступ к системе или выполнить код, а также эксплуатацию семейства уязвимостей принудительной аутентификации, которые позволяют получить NTLM-хеш служебной учетной записи узла под управлением Windows.

«Пакеты экспертизы, загруженные в MaxPatrol SIEM ранее, пополняются правилами по мере появления новых способов атак. Эксперты Positive Technologies непрерывно анализируют актуальные киберугрозы и разрабатывают правила детектирования тактик, техник и методов эксплуатации уязвимостей, которые атакующие только взяли на вооружение, — отметил Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах в компании Positive Technologies.Кроме того, некоторые давно известные бреши в службе RPC, связанные с принудительной аутентификацией (coerced authentication), официально не были признаны уязвимостями, и не будут исправлены Microsoft, а обновленный пакет поможет специалистам по ИБ обнаружить попытки их эксплуатации и вовремя принять меры».

Чтобы начать использовать механизм построения цепочек запускаемых процессов, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить новый пакет экспертизы.

Opera встроила защиту от вредоносных команд в буфере обмена

Opera решила ударить по одной из самых неприятных схем последних лет — атакам через буфер обмена. В браузере появилась новая функция Paste Protect, которая должна защищать пользователей от подмены скопированных данных и вредоносных команд, которые жертву заставляют вставить в терминал своими руками.

Функция включена по умолчанию и работает прямо на уровне браузера, а не ждет, пока антивирус или операционная система заметят что-то подозрительное.

Paste Protect объединяет два механизма. Первый — уже знакомая защита от перехвата, когда вредонос меняет содержимое буфера обмена. Классика жанра: пользователь копирует криптокошелек или банковский IBAN, а в буфере внезапно оказывается адрес злоумышленника. Opera должна распознать такую подмену и предупредить пользователя.

 

Второй механизм — новая защита от инъекции. Он нацелен на атаки в стиле ClickFix, где пользователя обманывают фейковыми CAPTCHA, ошибками браузера или проблемами с воспроизведением видео. Дальше всё просто: сайт предлагает скопировать команду для исправления проблемы и вставить её в терминал или PowerShell. После этого человек фактически сам запускает вредоносную нагрузку.

Opera теперь анализирует содержимое буфера обмена в реальном времени на Windows, macOS и Linux. Если браузер видит признаки шелл-скрипта, PowerShell-команды, закодированной нагрузки или другого подозрительного содержимого, копирование блокируется, а пользователь получает предупреждение. В уведомлении показывается короткий фрагмент заблокированного текста — до 120 символов.

Для продвинутых пользователей оставили обходные варианты. Например, функцию Hold to Copy, где блокировку можно снять после задержки, а также список доверенных сайтов. Это пригодится разработчикам, которые регулярно копируют команды с GitHub или из документации.

В Opera подчёркивают, что Paste Protect не отменяет здравый смысл. Если сайт просит вставить непонятную команду в терминал, это не починка браузера, а почти наверняка ловушка.

RSS: Новости на портале Anti-Malware.ru