新的威胁检测规则已被添加到Positive Technologies的信息安全事件监控系统MaxPatrol SIEM。新的事件充实机制已经被引入:它们帮助信息安全分析师确认多达90%的事件,而不需要额外的数据请求。MaxPatrol SIEM现在可以检测到五种更流行的黑客工具的迹象--Sliver, NimPlant, Masky, PowerView 和 Evil-WinRM。
Positive Technologies的专家不断研究新的网络威胁,监测世界各地的黑客组织的活动,并研究他们的战术和技术。基于这些数据,专家们创建了威胁检测方法,并定期以专业知识包的形式传输给MaxPatrol SIEM。这使SIEM系统用户能够检测到当前的威胁,并及时应对网络犯罪分子,他们不断开发新的攻击工具,方法和技术,并改进以前创建的工具。
正点科技专家为MaxPatrol SIEM开发了信息安全事件丰富机制。这些机制独立搜索攻击发展过程中出现的动态数据,为信息安全分析人员提供正在启动的进程的完整背景(MaxPatrol SIEM中之前已经实现了自动进程链构建机制)。
该公司的专家已经更新了以前下载的软件包,以检测黑客工具和伪装。添加到MaxPatrol SIEM的新规则允许检测越来越流行的工具Sliver1和NimPlant2,试图利用Metasploit恶意软件的ProxyNotShell漏洞和Masky3、PowerView4和Evil-WinRM5框架的活动,这些仍然是网络犯罪分子武器库的一部分。
通过新的规则,MaxPatrol SIEM还可以检测到基础设施中隐藏攻击者的先进技术,包括:
- 运行没有扩展名的进程--用于绕过相关规则,这些规则考虑到了对具有.exe扩展名的进程的明确搜索,以及用于掩饰;
- 启动具有双扩展名的进程(.docx.exe)--这种方法被攻击者用于网络钓鱼;
- 下载用不具有有效签名状态的 Microsoft 证书签名的进程或库--攻击者试图用这种方式将他们的工具伪装成合法的 Microsoft 程序。
Positive Technologies的高级信息安全知识库和专业知识专家Petr Kovchunov说:"MaxPatrol SIEM定期获得与公司最相关的威胁的独特专业知识。这些知识使能够识别复杂的有针对性的攻击,并在严重后果发生之前防止它们。每个专业知识包都有详细的描述,可直接从界面上获得:哪些规则在组合中,如何配置事件源,以及如何正确应对事件。攻击者正在引入新的技术,不断进行试验。他们已经开始更频繁地使用一些技术来绕过防御系统,并对SOC分析师进行伪装,所以在这次更新中,我们增加了一些规则来帮助检测这种技术。
作为重大检查更新的一部分,该产品还获得了一套新的规则,以帮助检测国内数据库管理系统ClickHouse6的可疑活动。该套件包括20多个相关规则,以帮助快速检测不同阶段的攻击,从侦察到试图从DBMS卸载数据或破坏数据。以前,MaxPatrol SIEM加载了规则集,用于检测对PostgreSQL、Oracle数据库、Microsoft SQL Server和MongoDB的攻击。
要开始使用新的规则和事件丰富机制,你需要更新MaxPatrol SIEM到7.0版本,并安装更新的检查包。
1. 免费软件,具有广泛的功能,从远程命令执行到权限升级。
2. 免费软件,功能与Sliver相似,但用Nim和Python编写。
3. 一个用于AD CS的攻击工具。
4. 一个用于攻击 Active Directory 的工具。
5. 专为红色团队设计的免费软件。攻击者用它来通过WinRM远程执行命令。
6. 柱状,开源分析型DBMS,允许对结构化大数据进行实时分析查询。