Главная>Новости>Новости отрасли>MaxPatrol SIEM научилась выявлять атаки на доменную инфраструктуру и другие угрозы

01.02.2023

Посетителей: 108

Просмотров: 84

Время просмотра: 2.3

Апдейты получили четыре пакета экспертизы: «Атаки на Microsoft Active Directory», «Тактики „Повышение привилегий“ и „Организация управления“ (MITRE ATT&CK)», «Атаки с помощью специализированного ПО» и «Тактика „Закрепление“ (MITRE ATT&CK)».

 

В рамках обновления в MaxPatrol SIEM было добавлено 31 новое правило.

Наиболее важные правила в опубликованных обновлениях связаны, пожалуй, с обнаружением атак на Microsoft Active Directory. С подобными угрозами компании сталкиваются каждый день, их активно используют атакующие. В обновление также вошли правила выявления тех техник, которые применяются атакующими уже долгое время и не теряют своей актуальности.

 

Юлия Фомина,

старший специалист отдела обнаружения атак, Positive Technologies.

 

Загруженные в MaxPatrol SIEM обновления пакетов экспертизы помогут выявить: атаки на Microsoft Active Directory, которые позволяют злоумышленникам получить максимальные права в доменной инфраструктуре. Проблемы Microsoft Active Directory эксплуатируются атакующими в реальной жизни, в частности, с весны 2022 г. осуществляются атаки на службу сертификации (Active Directory Certificate Services, AD CS). Атакующие имеют возможность эксплуатации даже при установленных патчах, если шаблоны сертификатов настроены некорректно. Новые правила выявляют подобные атаки на всех стадиях: некорректная конфигурация шаблонов, эксплуатация и последующее использование полученного сертификата для дальнейшего горизонтального перемещения по инфраструктуре; эксплуатацию уязвимости Kerberos Relay в Microsoft Active Directory. Эта уязвимость использует особенности протокола доменной авторизации Kerberos, чтобы повысить права на любом доменном компьютере (от непривилегированной учетной записи до системных прав) и закрепиться в системе. Для детектирования этой активности в MaxPatrol SIEM загружены два новых правила; классическую атаку Silver Ticket на протокол Kerberos. Для детектирования таких атак в систему добавлено правило с новым способом обнаружения: по результатам ряда проведенных проектов red team и пентестов эксперты Positive Technologies нашли определенные аномалии в авторизациях пользователей по протоколу Kerberos; Эксплуатацию известной серии уязвимостей, получившей название Potato Vulnerabilities: Juicy Potato, MultiPotato, Remote Potato, Rogue Potato — это одно семейство уязвимостей, эксплуатация которых позволяет злоумышленникам повысить привилегии от сервисной учетной записи до системных прав; манипуляции с токенами для повышения привилегий в системе; эксплуатацию уязвимостей в службе печати Windows (CVE-2022-21999 и CVE-2022-30206), позволяющих атакующим повысить привилегии; использование классического метода повышения привилегий до системного уровня при наличии прав локального администратора — повышение через именованные каналы. Этот метод атаки по умолчанию предлагают такие фреймворки как Cobalt Strike, Metasploit, Empire.

 

Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версий 7.0 или 7.1 и установить правила из пакета экспертизы.

Уведомления об обновлении новостей – в вашей почте

Стоп-факторов для импортозамещения нет. В стране идет импортозамещение, и госкорпорация «Росатом» как технологический лидер взяла на себя флагманскую роль в этом процессе

Операционный директор продуктовой студии AXEL PRO рассказал, как его команда добивается признания на рынке, объединяет разработку инновационных решений и поддержку стартапов в сфере кибербезопасности.

План по SD-WAN. Российские сетевые решения готовы к внедрению

Почему SD-WAN — связующее звено между ИБ-продуктами? Работа с заказчиком: у ИТ есть ответы на все возражения. Экспертиза по SD-WAN в РФ: от проектирования до техподдержки

Держать руку на «Пульте». Система «Пульт» выводит процесс мониторинга на новый уровень комфорта

«Пульт» стал спасательным кругом для потребителей после ухода Zabbix из России. Около 60% компаний получают ущерб от непредвиденных сбоев в работе ИТ-решений. Мониторинг позволяет увидеть целостную картину без лишних деталей.

Другие новости из этой рубрики

21
04

«Ростелеком-Солар»: за год компании укрепили внешний периметр, но забыли про внутренние сети

За год на фоне многочисленных кибератак российские компании укрепили защиту ИТ-периметров, но они по-прежнему недооценивают угрозу внутреннего нарушителя.

20
04

В России создадут цифровую карту аварийности

В новой карте будут выделены самые опасные зоны вождения автомобилей и самокатов, где чаще всего происходят дорожно-транспортные происшествия. Разработкой решения занимает провайдер Simble. В последствии решение позволит строить маршрут движения с объездом наиболее авариных мест.

19
04

ИИ от резидента «Сколково» помог снизить риск развития сердечно-сосудистых заболеваний

Медицинский лечебно-диагностический центр «Миг» и Компания «К-скай», разработчик платформы Webiomed, запустили совместный проект внедрения технологий искусственного интеллекта для анализа обезличенных медицинских данных и прогнозирования развития заболеваний пациентов. Он повышает эффективность профилактической медицинской помощи.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня