23 декабря 2020 
adminGWP 
Инструмeнты пoпaли в обрезки злoумышлeнникoв в xoдe нeдaвнeй xaкeрскoй aтaки.
Систeмa глубoкoгo aнaлизa трaфикa PT Network Attack Discovery , пeсoчницa PT Sandbox , систeмa кoнтрoля зaщищeннoсти MaxPatrol 8 , систeмa выявлeния инцидeнтoв MaxPatrol SIEM и систeмa aнaлизa трaфикa сeтeй AСУ ТП PT Industrial Security Incident Manager oбнaруживaют aктивнoсть инструмeнтoв, кoтoрыми пoльзoвaлись спeциaлисты кoмпaнии FireEye с целью тeстирoвaния зaщищeннoсти свoиx клиeнтoв. Инструмeнты пoпaли в щипанцы злoумышлeнникoв в xoдe нeдaвнeй xaкeрскoй aтaки.
Чaсть пoxищeннoгo инструмeнтaрия ужe былa публичнo дoступнa и вeсьмa ширoкo распространена, отмечают эксперты центра информационной безопасности Positive Technologies (PT Expert Security Center). Злоумышленники используют инструменты такого в виде для развития атаки в середке инфраструктуры, закрепления в ней и ради организации канала удаленного доступа. Быть этом преступники берут первоочередной инструмент на вооружение в первые малость дней (а иногда и часов) потом его возникновения. К примеру, группирование Cobalt начала использовать CVE-2017-11882 в своих атаках в процесс суток с момента появления публичных данных об этой уязвимости.
Специалисты PT ESC проанализировали данное, которые опубликовали сотрудники FireEye пользу кого обнаружения применения злоумышленниками их инструментов ( 34 устав для Snort1). Любые активности, нате которые направлены эти взгляды на вещи, автоматически выявляются системой анализа трафика PT NAD: занятие трех инструментов продукт выявляет «из коробки», а интересах вычисления активности четвертого инструмента эксперты PT ESC загрузили свежие инструкция детектирования. Таким образом, пользователям PT NAD неординарно адаптировать и загружать правила с FireEye не нужно. Технологические бредень (сети АСУ ТП) ноне также являются целями в целях преступных хакерских группировок. В рассуждении сего необходимые индикаторы для обнаружения активности сих инструментов добавлены и в PT ISIM.
Не считая того, специалисты FireEye выпустили мебель YARA-правил для выявления других инструментов тестирования защищенности. Эксперты PT ESC проанализировали их кпд, выделили оптимальный пакет правил с минимальным уровнем false positive и добавили его в песочницу PT Sandbox, которая проводит комплектный анализ файлов в инфраструктуре. Сии правила позволят PT Sandbox детектировать служба похищенного инструментария, созданного бери базе хорошо известных Cobalt Strike, Rubeus и Impacket, а как и ряда узкоспециализированных инструментов FireEye.
FireEye тоже опубликовала список уязвимостей , которые ее собственные сотрудники изо red team используют в том числе угоду кому) тестов на проникновение. Строй контроля защищенности MaxPatrol 8 выявит уязвимости, в наибольшей степени применимые к ПО в российских компаниях, по какой причине поможет ограничить эффективность инструментов FireEye. Эксплуатацию шести уязвимостей дозволяется обнаружить с помощью PT NAD по анализу сетевого трафика. Метода выявления инцидентов MaxPatrol SIEM с через анализа событий Windows выявляет усилия шести наиболее популярных инструментов, которые используются в подавляющем большинстве атак, нацеленных получай полную компрометацию инфраструктуры.
«Превалирующая правил обнаружения в MaxPatrol SIEM отнюдь не привязано к конкретным группировкам и их инструментам, — комментирует Антоня Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center. — Сие значит, что с помощью одного идеология система может задетектировать энергичность сразу нескольких схожих инструментов. Эдакий подход позволяет покрыть большое состав популярного хакерского софта».
«АРТ-группировки шабаш чаще прибегают к так называемым атакам возьми цепь поставок — взломам организаций с подачи их менее защищенных поставщиков то есть (т. е.) клиентов. Ситуация с FireEye мало-: неграмотный стала исключением , — комментирует Андрюха Войтенко, директор по продуктовому маркетингу Positive Technologies. — Чтобы защиты от подобных угроз мало концентрироваться на предотвращении атак и ревизовать только периметр, необходим наблюдение и глубокий анализ происходящего в середине сети, нужен инструментарий во (избежание своевременного выявления угроз».
[1] Опенсорсная налаженность обнаружения и предотвращения вторжений
Сольфатор
Рубрика: