24.07.2019 НовостиКак сообщила компания Positive Technologies, в решении MaxPatrol SIEM появился второй пакет экспертизы, выявляющий атаки с применением одной из тактик модели MITRE ATT&CK для ОС Windows. Теперь пользователи MaxPatrol SIEM могут детектировать активность злоумышленников не только с использованием тактик «Выполнение» и «Обход защиты», но и тактики «Горизонтальное перемещение». Это позволяет обнаружить попытки расширения присутствия атакующих в сети до того, как они получат контроль над инфраструктурой. Злоумышленники используют техники горизонтального перемещения для получения доступа и управления удаленными системами в сети, установки вредоносных программ и постепенного расширения присутствия в инфраструктуре. Основная их цель – определение администраторов в сети, их компьютеров, ключевых активов и данных. В пакет экспертизы вошли 18 правил корреляции, которые помогают выявить наиболее актуальные техники. Загруженный в MaxPatrol SIEM пакет экспертизы позволяет выявить следующие действия злоумышленников в рамках горизонтального перемещения: • нелегитимное подключение к системам по протоколу удаленного рабочего стола Remote Desktop Protocol (RDP); • попытки перехвата сеанса пользователя по протоколу RDP; • использование учетных записей уровня администратора для удаленного доступа к системам через протокол Server Messаge Block (SMB), с тем чтобы передавать файлы и запускать их; • удаленное копирование файлов в систему жертвы для развертывания хакерских ...
читать далее.