|
|
| MaxPatrol SIEM обнаруживает атаки шифровальщиков |
| 13.02.2024 |
| В MaxPatrol SIEM добавлены 62 новых правила обнаружения угроз. С их помощью система мониторинга событий ИБ выявляет среди прочего активность шифровальщиков и еще больше признаков работы хакерских инструментов. Всего получили обновления следующие пакеты экспертизы: «Атаки с помощью специализированного ПО», «Атаки методом перебора», «Расследование запуска процессов в Windows», «Сетевые устройства. Индикаторы компрометации», тактики «Получение учетных данных», «Выполнение», «Предотвращение обнаружения», «Сбор данных», «Деструктивное воздействие», «Перемещение внутри периметра», «Закрепление», «Повышение привилегий», «Организация управления», «Изучение».
Киберпреступники не стоят на месте: каждый день они совершенствуют методы атак, разрабатывают новые инструменты, чтобы их действия оставались незамеченными для средств защиты. Эксперты Positive Technologies непрерывно следят за трендами кибератак, изучают специализированные форумы по разработке и продаже вредоносного ПО и инструментария, а также анализируют публичные отчеты по расследованию инцидентов (в том числе выпускаемые собственным экспертным центром безопасности). На основе актуальных данных о том, как атакуют злоумышленники, Positive Technologies регулярно обновляет экспертизу в MaxPatrol SIEM.
Наиболее важные правила в опубликованных обновлениях позволяют пользователям MaxPatrol SIEM обнаруживать:
- типичные действия шифровальщиков, например массовую генерацию файлов или их изменение одним и тем же процессом;
- дополнительные признаки активности хакерских инструментов, ранее уже покрытых детектами; среди них, например, PPLBlade, Powermad, NimExec и SharpHound, который по-прежнему активно используется в атаках;
- популярные техники «Загрузка сторонних DLL-библиотек» (вредоносное ПО и APT-группировки применяют ее для проникновения в сеть и повышения привилегий) и «Подмена родительского PID» (используется атакующими для сокрытия вредоносных действий путем изменения родителя процесса) тактики «Предотвращение обнаружения» по матрице MITRE ATT&CK.
Подробнее |
|
|