PT NAD 11.1 научился выявлять ещё шесть вредоносных активностей

Екатерина Быстрова 04 Июля 2023 - 20:14

Малый и средний бизнес

Корпорации

Positive Technologies

PT Network Attack Discovery

Сетевая безопасность

Системы анализа трафика (NTA)

...

PT NAD 11.1 научился выявлять ещё шесть вредоносных активностей

Positive Technologies выпустила новую версию системы PT Network Attack Discovery (PT NAD) под номером PT NAD 11.1. Разработчики добавили новые статистические и поведенческие модули, которые позволяют обнаруживать ранее неизвестные ICMP-туннели, аномалии в SMB-трафике, а также работы хакерских инструментов Cobalt Strike и Brute Ratel С4.

Помимо этого, специалисты добавили модуль, который подтверждает успешное использование уязвимостей на узлах.

Основной акцент в новом релизе был сделан на точном обнаружении атак при помощи поведенческого анализа трафика. Команда разработчиков PT NAD внедрила сложные алгоритмы, основанные на профилировании каждого устройства в сети, сборе данных и поиске отклонений, помимо традиционных сигнатурных методов. Это позволяет обнаруживать угрозы и аномалии с большей точностью, а также дает возможность настраивать продукт под конкретную инфраструктуру каждой компании.

PT NAD 11.1 способен обнаруживать скрытые каналы передачи данных через ICMP-туннели, которые используются злоумышленниками для поддержки связи со взломанной инфраструктурой. Также система определяет шифрованный протокол SMB и появление новых SMB-пайпов в трафике, которые используются киберпреступниками для обхода обнаружения.

Специалисты Positive Technologies разработали статистические модули, которые обнаруживают работу фреймворков Cobalt Strike и Brute Ratel C4, широко используемых в целевых атаках. Фреймворки позволяют атакующим взаимодействовать со скомпрометированными узлами и продвигаться внутри инфраструктуры. Новый модуль PT NAD также позволяет обнаруживать успешные попытки эксплуатации уязвимостей на узлах.

В новой версии PT NAD улучшен механизм исключений из ленты активностей, что позволяет операторам быстро удалять типичные для их инфраструктуры срабатывания и уменьшить количество ложноположительных срабатываний. Также были добавлены другие нововведения, включая возможность создания общих фильтров, проверки корректности захвата и обработки трафика, а также инженерные и UX-улучшения. Мастер настройки в новой версии помогает быстрее установить основные параметры работы PT NAD и упрощает развертывание продукта.

Следующая главная новость »

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 23 Декабря 2025 - 11:57

macOS Трояны Домашние пользователи

Стилер MacSync научился обходить защиту macOS через «легитимный» софт

Эксперты по кибербезопасности зафиксировали новую схему распространения macOS-зловредов, которая позволяет обходить встроенные защитные механизмы Apple. На этот раз злоумышленники маскируют вредоносную программу под официально подписанное приложение, убеждая систему, что перед ней легитимный софт.

О находке рассказали исследователи из компании Jamf. По их данным, атака связана с новой версией MacSync Stealer — активно развивающегося семейства зловредов для macOS.

В отличие от классических сценариев, в которых macOS сразу предупреждает пользователя о небезопасном приложении, здесь используется более хитрый подход:

пользователю предлагается установить Swift-приложение, которое
- подписано разработчиком;
- прошло одобрение Apple;
- не содержит вредоносного кода внутри;
после запуска приложение загружает закодированный скрипт с удалённого сервера;
именно этот скрипт устанавливает MacSync Stealer.

Jamf отмечает, что Mach-O бинарник был универсальным, корректно подписанным и не находился в списке отозванных сертификатов Apple на момент анализа. Зловред же в основном работает в памяти, практически не оставляя следов на диске, что дополнительно усложняет обнаружение.

По словам специалистов Jamf, такая техника становится всё более популярной среди атакующих. Злоумышленники всё чаще прячут вредоносную нагрузку в подписанных исполняемых файлах, чтобы они выглядели как обычные приложения и не вызывали подозрений на раннем этапе.

Фактически это попытка использовать саму модель доверия macOS против пользователей. Компания сообщила, что передала Apple информацию о разработчике, и сертификат уже был отозван.