Главная>Новости>Новости отрасли>MaxPatrol SIEM научилась выявлять атаки на доменную инфраструктуру и другие угрозы

01.02.2023

Посетителей: 40

Просмотров: 33

Время просмотра: 2.3

Апдейты получили четыре пакета экспертизы: «Атаки на Microsoft Active Directory», «Тактики „Повышение привилегий“ и „Организация управления“ (MITRE ATT&CK)», «Атаки с помощью специализированного ПО» и «Тактика „Закрепление“ (MITRE ATT&CK)».

 

В рамках обновления в MaxPatrol SIEM было добавлено 31 новое правило.

Наиболее важные правила в опубликованных обновлениях связаны, пожалуй, с обнаружением атак на Microsoft Active Directory. С подобными угрозами компании сталкиваются каждый день, их активно используют атакующие. В обновление также вошли правила выявления тех техник, которые применяются атакующими уже долгое время и не теряют своей актуальности.

 

Юлия Фомина,

старший специалист отдела обнаружения атак, Positive Technologies.

 

Загруженные в MaxPatrol SIEM обновления пакетов экспертизы помогут выявить: атаки на Microsoft Active Directory, которые позволяют злоумышленникам получить максимальные права в доменной инфраструктуре. Проблемы Microsoft Active Directory эксплуатируются атакующими в реальной жизни, в частности, с весны 2022 г. осуществляются атаки на службу сертификации (Active Directory Certificate Services, AD CS). Атакующие имеют возможность эксплуатации даже при установленных патчах, если шаблоны сертификатов настроены некорректно. Новые правила выявляют подобные атаки на всех стадиях: некорректная конфигурация шаблонов, эксплуатация и последующее использование полученного сертификата для дальнейшего горизонтального перемещения по инфраструктуре; эксплуатацию уязвимости Kerberos Relay в Microsoft Active Directory. Эта уязвимость использует особенности протокола доменной авторизации Kerberos, чтобы повысить права на любом доменном компьютере (от непривилегированной учетной записи до системных прав) и закрепиться в системе. Для детектирования этой активности в MaxPatrol SIEM загружены два новых правила; классическую атаку Silver Ticket на протокол Kerberos. Для детектирования таких атак в систему добавлено правило с новым способом обнаружения: по результатам ряда проведенных проектов red team и пентестов эксперты Positive Technologies нашли определенные аномалии в авторизациях пользователей по протоколу Kerberos; Эксплуатацию известной серии уязвимостей, получившей название Potato Vulnerabilities: Juicy Potato, MultiPotato, Remote Potato, Rogue Potato — это одно семейство уязвимостей, эксплуатация которых позволяет злоумышленникам повысить привилегии от сервисной учетной записи до системных прав; манипуляции с токенами для повышения привилегий в системе; эксплуатацию уязвимостей в службе печати Windows (CVE-2022-21999 и CVE-2022-30206), позволяющих атакующим повысить привилегии; использование классического метода повышения привилегий до системного уровня при наличии прав локального администратора — повышение через именованные каналы. Этот метод атаки по умолчанию предлагают такие фреймворки как Cobalt Strike, Metasploit, Empire.

 

Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версий 7.0 или 7.1 и установить правила из пакета экспертизы.

Уведомления об обновлении новостей – в вашей почте

«Супераппом НЛМК ежемесячно пользуются 30 000 сотрудников»

На кого ориентированы мобильные приложения НЛМК? Какие технологии лежат в основе этих решений? Почему НЛМК разрабатывает собственную платформу для создания мобильных приложений?

Будущее уже здесь: как поставить искусственный интеллект на службу маркетологу

Как машинное обучение помогает выполнить KPI маркетолога? Какие преимущества поведенческого анализа может использовать бизнес?

Почему в управлении клиентскими данными главное слово — «управление»

Из каких этапов состоит процесс управления клиентскими данными? Какие классы систем представлены в этой области? Как подготовиться к внедрению процесса?

Другие новости из этой рубрики

05
04

«Тинькофф» запустил сервис речевой аналитики для бизнеса

«Тинькофф» запустил сервис речевой аналитики, который позволяет бизнесу расшифровывать большие объемы телефонных звонков и улучшать работу колл-центров.

21
04

«Ростелеком-Солар»: за год компании укрепили внешний периметр, но забыли про внутренние сети

За год на фоне многочисленных кибератак российские компании укрепили защиту ИТ-периметров, но они по-прежнему недооценивают угрозу внутреннего нарушителя.

19
04

ИИ от резидента «Сколково» помог снизить риск развития сердечно-сосудистых заболеваний

Медицинский лечебно-диагностический центр «Миг» и Компания «К-скай», разработчик платформы Webiomed, запустили совместный проект внедрения технологий искусственного интеллекта для анализа обезличенных медицинских данных и прогнозирования развития заболеваний пациентов. Он повышает эффективность профилактической медицинской помощи.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня