MaxPatrol SIEM: выявление атак с тактикой горизонтального перемещения
Как сообщила компания Positive Technologies, в решении MaxPatrol SIEM появился второй пакет экспертизы, выявляющий атаки с применением одной из тактик модели MITRE ATT&CK для ОС Windows. Теперь пользователи MaxPatrol SIEM могут детектировать активность злоумышленников не только с использованием тактик «Выполнение» и «Обход защиты», но и тактики «Горизонтальное перемещение». Это позволяет обнаружить попытки расширения присутствия атакующих в сети до того, как они получат контроль над инфраструктурой.
Злоумышленники используют техники горизонтального перемещения для получения доступа и управления удаленными системами в сети, установки вредоносных программ и постепенного расширения присутствия в инфраструктуре. Основная их цель – определение администраторов в сети, их компьютеров, ключевых активов и данных. В пакет экспертизы вошли 18 правил корреляции, которые помогают выявить наиболее актуальные техники.
Загруженный в MaxPatrol SIEM пакет экспертизы позволяет выявить следующие действия злоумышленников в рамках горизонтального перемещения:
• нелегитимное подключение к системам по протоколу удаленного рабочего стола Remote Desktop Protocol (RDP);
• попытки перехвата сеанса пользователя по протоколу RDP;
• использование учетных записей уровня администратора для удаленного доступа к системам через протокол Server Messаge Block (SMB), с тем чтобы передавать файлы и запускать их;
• удаленное копирование файлов в систему жертвы для развертывания хакерских инструментов и удаленного их выполнения;
• использование связующего ПО Distributed Component Object Model (DCOM), с помощью которого злоумышленники, работающие от имени пользователя с соответствующими привилегиями, могут удаленно выполнять команды;
• применение механизма администрирования Windows Remote Management (WinRM) для работы с удаленными системами, например, для запуска исполняемого файла, изменения системного реестра или приложений Windows.
Дополнительно в пакет включены правила, которые выявляют техники атакующих, относящиеся по матрице ATT&CK к тактике «Выполнение». Практика расследований, проводимых командой PT Expert Security Center, показывает, что такие техники применяются и для горизонтального перемещения. Например, удаленное создание задач, применение утилиты администрирования WinExec для выполнения команд и расширения присутствия, использование Windows Management Instrumentation (WMI) для управления и доступа к удаленным системам, попытки доступа к файловым ресурсам на удаленных системах.
Это второй пакет экспертизы из специальной серии, в создании которой участвует команда PT Expert Security Center, – для покрытия всех 12 тактик матрицы MITRE ATT&CK. Каждый пакет серии будет направлен на выявление атак с применением одной или нескольких тактик. До конца 2019 г. серия пакетов экспертизы дополнится пакетами для выявления тактик закрепления (Persistence), получения учетных данных (Credential Access) и разведки (Discovery).