Blog

В MaxPatrol SIEM загружен второй пакет экспертизы, выявляющий атаки с применением одной из тактик модели MITRE ATT&CK для операционной системы Windows.

В MaxPatrol SIEM загружен второй пакет экспертизы, выявляющий атаки с применением одной из тактик модели MITRE ATT&CK [1] Windows operatsion tizimi uchun. Endi MaxPatrol SIEM foydalanuvchilari tajovuzkor faoliyatini nafaqat foydalanish orqali aniqlashlari mumkin «Ijro» va «aylanma mudofaa» taktikasi , balki «Yon harakat» taktikasi ham. Bu tajovuzkorlar infratuzilmani nazorat qilishdan oldin tarmoqdagi mavjudligini kengaytirishga urinishlarini aniqlash imkonini beradi.

Buzg’unchilar tarmoqdagi masofaviy tizimlarga kirish va ularni boshqarish, zararli dasturlarni o’rnatish va infratuzilma ichidagi mavjudligini asta-sekin kengaytirish uchun lateral harakat usullaridan foydalanadilar. Buzg’unchilarning asosiy maqsadi tarmoq ma’murlarini, ularning kompyuterlarini, asosiy aktivlarini va ma’lumotlarini aniqlash, natijada infratuzilma ustidan to’liq nazoratni qo’lga kiritishdir. Baholash to’plami eng mos usullarni aniqlashga yordam beradigan 18 ta korrelyatsiya qoidalarini o’z ichiga oladi.

PT Expert Security Center ekspert xizmatlari boshlig’i Anton Tyurin: «Buzg’unchining harakatini lateral harakatning dastlabki bosqichlarida aniqlash juda muhim», deydi. Agar ular ma’muriy imtiyozlarga ega bo’lsalar, ular istalgan hisob va serverlarga kirishlari mumkin, bu esa o’z ta’sir doirasini tezda kengaytiradi va oxir-oqibat butun infratuzilma ustidan nazoratni qo’lga kiritadi. MaxPatrol SIEM foydalanuvchilari uchun biz tajovuzkorning eng keng tarqalgan harakatlarini aniqlashga yordam beruvchi qoidalar to‘plamini ishlab chiqdik. ».

MaxPatrol SIEM-ga yuklangan sud-tibbiy paketi bizga tajovuzkorlarning lateral harakatining bir qismi sifatida quyidagi harakatlarini aniqlash imkonini beradi:

· Remote Desktop Protocol (RDP) orqali tizimlarga noqonuniy ulanish.

· RDP protokoli orqali foydalanuvchi sessiyasini to’xtatishga urinish.

· Fayllarni uzatish va bajarish uchun Server Message Block (SMB) protokoli orqali tizimlarga masofadan kirish uchun administrator darajasidagi hisoblardan foydalanish.

· Xakerlik vositalarini joylashtirish va ularni masofadan turib bajarish uchun jabrlanuvchining tizimiga fayllarni masofadan nusxalash.

· Distributed Component Object Model (DCOM) oraliq dasturidan foydalanish. Bu tegishli imtiyozlarga ega foydalanuvchi ostida ishlaydigan tajovuzkorlarga buyruqlarni masofadan turib bajarish imkonini beradi.

· Masofaviy tizimlar bilan ishlash, masalan, bajariladigan faylni ishga tushirish, tizim registrini o’zgartirish yoki Windows ilovalarini o’zgartirish uchun Windows Remote Management (WinRM) boshqaruv mexanizmidan foydalanish.

Bundan tashqari, paket ATT&CK matritsasida “Ijro” taktikasi sifatida tasniflangan hujum usullarini aniqlaydigan qoidalarni o’z ichiga oladi. PT Expert Security Center jamoasi tomonidan olib borilgan tekshiruvlar shuni ko’rsatadiki, bunday usullar lateral harakat uchun ham qo’llaniladi. Masalan, masofaviy vazifalarni yaratish, buyruqlarni bajarish va mavjudligini kengaytirish uchun WinExec boshqaruv yordam dasturidan foydalanish, masofaviy tizimlarni boshqarish va kirish uchun Windows boshqaruv asboblaridan (WMI) foydalanish va masofaviy tizimlardagi fayl almashuvlariga kirishga urinishlar.

Bu PT Expert Security Center jamoasi tomonidan ishlab chiqilgan, MITER ATT&CK matritsasidagi barcha 12 ta taktikani qamrab olgan maxsus seriyadagi ikkinchi baholash paketidir. Seriyadagi har bir paket ushbu taktikalardan biri yoki bir nechtasi yordamida hujumlarni aniqlashga qaratilgan. 2019 yil oxiriga kelib, seriya qat’iylikni aniqlash, hisobga olish ma’lumotlarini olish va kashfiyot taktikalarini o’z ichiga olgan holda kengaytiriladi.

MaxPatrol SIEM-ga allaqachon yuklangan sud-tibbiy paketlar yangi hujum texnikasi, taktikasi va protseduralari paydo bo’lishi bilan qoidalar bilan yangilanadi. Masalan, lateral harakatni aniqlash uchun sud-tibbiy paketining chiqarilishi bilan seriyadagi birinchi paket ikkita korrelyatsiya qoidalari bilan to’ldirildi.

[1] Zararli foydalanuvchilar tomonidan qoʻllaniladigan taktika, texnika va tartiblarni tavsiflovchi bilimlar bazasi.