MaxPatrol SIEM научилась выявлять атаки на Linux FreeIPA

MaxPatrol SIEM научилась выявлять атаки на Linux FreeIPA

MaxPatrol SIEM научилась выявлять атаки на Linux FreeIPA

В MaxPatrol SIEM добавили пакет экспертизы для выявления атак на FreeIPA (альтернатива Active Directory). Новые правила корреляции позволят на ранних этапах обнаружить попытки получения несанкционированного доступа к Linux-системам в домене.

Доля Windows в России все еще высока и сейчас составляет 47,69% (а если из общего объема убрать мобильные ОС, то и того больше). Тем не менее вызванный курсом на импортозамещение переход на отечественные ОС на базе Linux уже заметен, и защита таких инфраструктур становится настоятельной необходимостью.

«Учитывая текущую миграцию корпоративных инфраструктур с Windows на Linux, которая влечет за собой переход с Active Directory на отечественные службы каталогов, большое число компаний может оказаться под угрозой, — отметил Вадим Пантелькин из отдела экспертных сервисов PT Expert Security Center. — В ходе расследований мы изучили, как атакуют FreeIPA, и разработали правила для обнаружения компрометации инфраструктуры».

Новые правила корреляции позволят MaxPatrol SIEM выявить следующую активность в FreeIPA и построенных на его основе решениях (ALD Pro и проч.):

  • разведку инфраструктуры с помощью таких инструментов, как kerbrute;
  • попытки брутфорса и применения метода password spray;
  • подозрительные действия пользователей (массовая блокировка учетных записей, изменение критически важных пользовательских данных и т. п.);
  • LDAP-запросы на получение конфиденциальных атрибутов в домене.

Чтобы воспользоваться новыми возможностями, придется обновить SIEM-систему разработки Positive Technologies до версии 7.0 или выше и лишь после этого установить правила из пакета экспертизы.

SpamBlocker для Android научился автоответам на заблокированные звонки

Вышло обновление проекта SpamBlocker — блокировщика СМС-спама и нежелательных звонков для устройств на Android 10 и новее. Для звонков SpamBlocker работает как определитель номера и не требует заменять стандартные приложения для звонков и СМС.

Он проверяет входящие вызовы и может отсеивать нежелательные, не меняя привычную схему использования телефона.

Исходный код софта опубликован на GitHub под лицензией MIT. Продукт написан на Kotlin и Java.

Приложение анализирует разные признаки звонка: страну, оператора, частоту вызовов, контакты, группы контактов, префиксы, историю набранных и принятых номеров, STIR/SHAKEN и другие параметры. Также учитываются экстренные вызовы.

 

 

Отдельно отмечается, что SpamBlocker умеет отличать звонки курьеров и сервисов доставки. Пользователь может задавать собственные правила — например, блокировать номера с определённым префиксом или сообщения со словами вроде «кредит», «акция» и «распродажа».

СМС обрабатываются в двух режимах. В Standalone Mode приложение само показывает уведомления о сообщениях, поэтому уведомления в основном СМС-клиенте лучше отключить, чтобы не получать дубли.

В Screening provider mode СМС-приложение проверяет сообщения в реальном времени, а SpamBlocker возвращает короткое решение. Этот вариант гибче: он может работать без разрешения на СМС и лучше поддерживает RCS и MMS, но зависит от того, поддерживает ли нужный протокол само СМС-приложение.

В новом выпуске изменён воркфлоу для рингтонов. Он несовместим со старыми настройками, поэтому их нужно настроить заново. Зато теперь рингтон можно привязывать к повторным звонкам, контактам и regex-правилам.

Также появился воркфлоу SMS Reply: приложение может автоматически отправлять СМС контактам, если их звонок был заблокирован, например в режиме встречи. Кроме того, исправлен сбой при восстановлении резервной копии из большой базы данных, а API-запросы теперь поддерживают более гибкую логику блокировки на основе положительных и отрицательных оценок номера.

RSS: Новости на портале Anti-Malware.ru