Система MaxPatrol SIEM получила масштабное обновление экспертизы

В систему мониторинга событий ИБ компании Positive Technologies — MaxPatrol SIEM — добавлены новые правила обнаружения угроз. Появились новые механизмы обогащения событий: они помогают аналитикам ИБ подтверждать до 90% инцидентов без дополнительного запроса данных. Теперь MaxPatrol SIEM выявляет атаки на отечественную СУБД ClickHouse, а также признаки работы еще пяти популярных хакерских инструментов — Sliver, NimPlant, Masky, PowerView и Evil-WinRM.

Специалисты Positive Technologies постоянно исследуют новые киберугрозы, отслеживают активность хакерских группировок по всему миру, изучают их тактики и техники. На основе этих данных эксперты создают способы выявления угроз, которые регулярно передают в MaxPatrol SIEM в виде пакетов экспертизы. Благодаря этому пользователи SIEM-системы могут обнаруживать актуальные угрозы и оперативно реагировать на действия киберпреступников, которые непрерывно разрабатывают новые инструменты, методы и техники атак, а также совершенствуют ранее созданные.

Специалисты Positive Technologies разработали для MaxPatrol SIEM механизмы обогащения событий ИБ. Эти механизмы самостоятельно ищут динамические данные, которые возникают при развитии атаки, чтобы предоставить аналитикам ИБ полный контекст запускаемых процессов (ранее в MaxPatrol SIEM был реализован механизм автоматического построения цепочек процессов).

«Дополнительный контекст в MaxPatrol SIEM помогает обнаруживать активность злоумышленников. Чем больше контекста в карточках событий, тем легче специалистам по ИБ „раскручивать“ атаки. Добавленный нами ранее механизм построения цепочек запускаемых процессов снял большую часть рутинных задач с аналитиков SOC, поэтому мы продолжили работу в этом направлении, — комментирует Кирилл Кирьянов, руководитель группы обнаружения атак на конечных устройствах, Positive Technologies. — Чтобы сделать расследование инцидентов еще проще, быстрее и эффективнее, мы создали новые механизмы обогащения. Они дают расширенный контекст, который помогает операторам верифицировать до 90% инцидентов, тем самым избавляя их от необходимости делать дополнительные запросы в системе».

Эксперты компании обновили ранее загруженные пакеты для выявления хакерских инструментов и способов маскировки. Добавленные в MaxPatrol SIEM правила позволяют обнаружить работу набирающих популярность инструментов Sliver1 и NimPlant2, попытки эксплуатации уязвимостей ProxyNotShell вредоносным модулем Metasploit, а также активность фреймворков Masky3, PowerView4 и Evil-WinRM5, которые по-прежнему входят в арсенал киберпреступников.

С помощью новых правил MaxPatrol SIEM также детектирует продвинутые техники сокрытия злоумышленников в инфраструктуре, в частности:

  • запуск процессов без расширения — используется для обхода правил корреляции, в которых учитывается явный поиск процессов, имеющих расширение .exe, а также для маскировки;
  • запуск процессов с двойным расширением, например .docx.exe, — этот способ атакующие применяют при фишинге;
  • загрузку процессов или библиотек, подписанных сертификатом Microsoft, который не имеет валидного статуса подписи, — таким способом злоумышленники пытаются замаскировать свой инструментарий под легитимные программы Microsoft.

«MaxPatrol SIEM регулярно получает уникальные экспертные знания об угрозах, которые максимально релевантны для российских компаний. Эти знания позволяют выявлять сложные целевые атаки и предотвращать их до наступления серьезных последствий. Каждый пакет экспертизы сопровождается подробным описанием, доступным прямо из интерфейса: какие правила в составе, как настроить источники событий, как правильно реагировать на инцидент, — говорит Петр Ковчунов, старший специалист базы знаний и экспертизы информационной безопасности Positive Technologies. — Злоумышленники внедряют новые техники, постоянно экспериментируя. Они стали чаще использовать некоторые техники для обхода средств защиты и маскировки от аналитиков SOC, поэтому в этом обновлении мы добавили правила, которые помогут такие техники обнаружить».

В рамках масштабного обновления экспертизы продукт также получил новый пакет правил, позволяющих выявлять подозрительную активность в отечественной системе управления базами данных ClickHouse6. В пакет вошли более 20 правил корреляции, которые помогут оперативно обнаружить атаку на разных стадиях — от разведки до попыток выгрузить данные из СУБД или уничтожить ее. Добавленная экспертиза поможет российским компаниям, использующим ClickHouse или планирующим перейти на нее в рамках импортозамещения, обеспечивать безопасность критически важных данных. Ранее в MaxPatrol SIEM были загружены наборы правил для выявления атак на PostgreSQL, Oracle Database, Microsoft SQL Server и MongoDB.

Чтобы начать использовать новые правила и механизмы обогащения событий, необходимо обновить MaxPatrol SIEM до версии 7.0 и установить обновления пакетов экспертизы.

  1. Свободно распространяемое ПО с большим набором функций, от удаленного выполнения команд до повышения привилегий.
  2. Свободно распространяемое ПО, имеющее функции, схожие с функциями Sliver, но написанное на языках Nim и Python.
  3. Инструмент для атак на AD CS.
  4. Инструмент для атак на Active Directory.
  5. Свободно распространяемое ПО, предназначенное для red teams. Злоумышленники используют его для удаленного выполнения команд через WinRM.
  6. Колоночная аналитическая СУБД с открытым кодом, позволяющая выполнять аналитические запросы в режиме реального времени на структурированных больших данных; разработка компании «Яндекс».