Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - MaxPatrol SIEM обнаруживает работу популярных хакерских инструментов
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

MaxPatrol SIEM обнаруживает работу популярных хакерских инструментов

19.03.2020

Пакет экспертизы поможет пользователям MaxPatrol SIEM выявлять активные действия злоумышленников в сети до достижения ими целей атаки.

image

В MaxPatrol SIEM загружен очередной [1] (пятнадцатый) пакет экспертизы с 55 правилами для выявления признаков работы распространенных инструментов киберпреступников. Правила детектирования нацелены на обнаружение многофункциональных инструментов — фреймворков, часто используемых злоумышленниками, в том числе в целевых атаках. Пакет экспертизы поможет пользователям MaxPatrol SIEM выявлять активные действия злоумышленников в сети до достижения ими целей атаки.

 

Злоумышленники используют фреймворки для выполнения задач на разных этапах атаки, от получения доступа в сеть до кражи данных и воздействия на инфраструктуру. Для этого фреймворки могут задействовать встроенные утилиты операционных систем или запускать собственные зловредные модули.

 

Правила в составе пакета экспертизы детектируют активность отдельных модулей распространенных инструментов. В частности, среди этих инструментов Cobalt Strike (используется злоумышленниками для скрытой коммуникации, проведения фишинговых атак и атак через веб-приложения, для закрепления на ресурсах и развития присутствия внутри сети; группировка Cobalt с его помощью атаковала банки ), Koadic и Sliver (свободно распространяемое ПО с большим набором функций, от удаленного выполнения команд до повышения привилегий), SharpSploit (набор инструментов для постэксплуатации), SharpWMI (ПО, которое использует механизм Windows Management Instrumentation для удаленного выполнения команд через подписки на события WMI), Rubeus (инструмент для атак на инфраструктуру, использующую протокол Kerberos для аутентификации [2]).

 

«Наши исследования хакерских фреймворков показывают, что в одном инструменте могут сочетаться несколько подходов, которые усложняют детектирование его работы, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center . — Один из популярных методов атак — living off the land, когда злоумышленники для атаки используют легитимные инструменты, которые уже присутствуют в атакуемой системе. Второй метод, набирающий популярность, — bring your own land, когда атакующие создают и доставляют на взломанный узел свои собственные инструменты. Мы учли эти методы при разработке правил детектирования, которые выявляют активность хакерских инструментов на разных этапах, в том числе в момент запуска их модулей или отправки команд».


[1] В MaxPatrol SIEM доступны 15 пакетов экспертизы, которые содержат 300 правил обнаружения атак. Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base, которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта.

 


[2] Используется по умолчанию во многих современных корпоративных сетях.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Безопасность
Опубликовал: shellmann
Просмотров: 552
Проголосовало через SMS: 0
Ключевые слова: maxpatrol, хакеры, хакерская атака, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Релиз ядра Linux 5.9
  • Российские хакеры вооружились уязвимостью Zerologon
  • Тысячи приватных звонков американских заключенных оказались в отк...
  • Шифровальщик атаковал немецкую компанию Software AG
  • Злоумышленники используют службу Windows Error Reporting для бесф...
  • Microsoft предупредила о вымогателях, которые выдают себя за МВД ...
  • Инфостилер Valak ворует информацию из почтовых систем Microsoft E...
  • GitLab обнаружил множество уязвимостей в исходном коде проектов с...
  • Хакеры используют службу WER в бесфайловых кибератаках
  • Ботнет HEH способен уничтожить все данные на IoT-девайсах

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / Game console » Re: консольные команды для Call of Duty 4 - Modern Warfare
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Нужна помощь в скачивании файла
  • Разное / Предложения работы » требуется взлом почт на постоянной основе
  • Разное / Предложения работы » необходим взлом почты
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Анализ открытых баз данных ElasticSearch (легкий гайд)
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}