Новые правила MaxPatrol SIEM помогут выявлять атаки на доменную инфраструктуру и другие угрозы

02.02.2023 15:41

Пресс-релиз Positive Technologies

В систему мониторинга событий информационной безопасности MaxPatrol SIEM загружены новые правила обнаружения атак. Апдейты получили четыре пакета экспертизы: «Атаки на Microsoft Active Directory», «Тактики „Повышение привилегий“ и „Организация управления“ (MITRE ATT&CK)», «Атаки с помощью специализированного ПО» и «Тактика „Закрепление“ (MITRE ATT&CK)».

В рамках обновления в MaxPatrol SIEM было добавлено 31 новое правило. «Наиболее важные правила в опубликованных обновлениях связаны, пожалуй, с обнаружением атак на Microsoft Active Directory, — рассказала Юлия Фомина, старший специалист отдела обнаружения атак, Positive Technologies. — С подобными угрозами компании сталкиваются каждый день, их активно используют атакующие. В обновление также вошли правила выявления тех техник, которые применяются атакующими уже долгое время и не теряют своей актуальности».

Загруженные в MaxPatrol SIEM обновления пакетов экспертизы помогут выявить:

Атаки на Microsoft Active Directory, которые позволяют злоумышленникам получить максимальные права в доменной инфраструктуре. Проблемы Microsoft Active Directory эксплуатируются атакующими в реальной жизни, в частности, с весны 2022 года осуществляются атаки на службу сертификации (Active Directory Certificate Services, AD CS). Атакующие имеют возможность эксплуатации даже при установленных патчах, если шаблоны сертификатов настроены некорректно. Новые правила выявляют подобные атаки на всех стадиях: некорректная конфигурация шаблонов, эксплуатация и последующее использование полученного сертификата для дальнейшего горизонтального перемещения по инфраструктуре.

Эксплуатацию уязвимости Kerberos Relay в Microsoft Active Directory. Эта уязвимость использует особенности протокола доменной авторизации Kerberos, чтобы повысить права на любом доменном компьютере (от непривилегированной учетной записи до системных прав) и закрепиться в системе. Для детектирования этой активности в MaxPatrol SIEM загружены два новых правила.

Классическую атаку Silver Ticket на протокол Kerberos. Для детектирования таких атак в систему добавлено правило с новым способом обнаружения: по результатам ряда проведенных проектов red team и пентестов эксперты Positive Technologies нашли определенные аномалии в авторизациях пользователей по протоколу Kerberos.

Эксплуатацию известной серии уязвимостей, получившей название Potato Vulnerabilities: Juicy Potato, MultiPotato, Remote Potato, Rogue Potato — это одно семейство уязвимостей, эксплуатация которых позволяет злоумышленникам повысить привилегии от сервисной учетной записи до системных прав.

Манипуляции с токенами для повышения привилегий в системе.

Эксплуатацию уязвимостей в службе печати Windows (CVE-2022-21999 и CVE-2022-30206), позволяющих атакующим повысить привилегии.

Использование классического метода повышения привилегий до системного уровня при наличии прав локального администратора — повышение через именованные каналы. Этот метод атаки по умолчанию предлагают такие фреймворки, как Cobalt Strike, Metasploit, Empire.

Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версий 7.0 или 7.1 и установить правила из пакета экспертизы.

Продукты

Последний вышедший номер

Читайте в номере:

Компьютерный тренинг операторов технологических процессов – застой или путь к новой трансформации: история, рынок, направления возможного прорыва, импортозамещение

Система автоматизированного управления грузоподъёмными устройствами и оборудованием промышленного назначения

Автоматизированные системы диагностики оборудования электроэнергетики: состояние, архитектура и проблемы интеграции данных

Адаптивные модели управления сетевым трафиком в гетерогенных сетях IIoT на основе графовых нейронных сетей с учетом динамических сбоев и кибератак

UDV DATAPK Version Control - отечественное решение для контроля версий проектов ПЛК в АСУТП

Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru

Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.

Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.

В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.

Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.