| |
Уважаемые пользователи!
В рамках регулярного исследования ландшафта угроз эксперты изучили статистку анализа вредоносного программного обеспечения в Kaspersky Sandbox. Всего по итогам разбора миллионов самых распространенных вредоносных файлов, этой системой было выявлено 218 техник и подтехник с тысячами уникальных процедур. Тщательно изучив наиболее часто используемые атакующими техники специалисты «Лаборатории Касперского» оперативно доработали и добавили в SIEM-систему KUMA детектирующую логику для их выявления. В частности, в обновлении, вышедшем во втором квартале 2024 года была дополнена логика для детектирования техники отключения/модификации локального межсетевого экрана (Impair Defenses: Disable or Modify System Firewall T1562.004 по классификации MITRE), которая входит в топ тактик, техник и процедур (TTPs), используемых злоумышленниками.
Как злоумышленники отключают или модифицируют локальный межсетевой экран
Техника T1562.004 позволяет злоумышленникам обойти средства защиты (defense evasion) и получить возможность соединяться по сети с серверами C2 или дать возможность нетипичному приложению иметь базовый доступ к сети.
Распространены 2 способа изменения или отключения хостового файервола: с помощью утилиты netsh или с помощью внесения изменений в параметры реестра Windows.
Вот примеры популярных командных строк, используемых злоумышленниками для этих целей:
- netsh firewall add allowedprogram
- netsh firewall set opmode mode=disable
- netsh advfirewall set currentprofile state off
- netsh advfirewall set allprofiles state off
Пример ветки реестра и значения, добавленного атакующими, разрешающих входящий UDP трафик для приложения C:\Users\<user>\AppData\Local\Temp\server.exe:
HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}
Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\
Users\<user>\AppData\Local\Temp\server.exe|Name=server.exe|’}
Еще один способ, которым пользуются атакующие для отключения Windows FW — остановка сервиса mpssvc.
Чаще всего они осуществляют ее с помощью утилиты net:
Как SIEM-решение выявляет T1562.004
Делается это с помощью добавленного правила R240, в частности за счет детектирования и корреляции следующих событий:
- остановки злоумышленником сервиса локального межсетевого экрана для обхода его ограничений;
- отключения или модификации злоумышленником политики локального межсетевого экрана с целью его обхода;
- изменения злоумышленником правил на локальном межсетевом экране через реестр для обхода его ограничений;
- отключения злоумышленником локального межсетевого экрана через реестр;
- манипуляций злоумышленника с локальным межсетевым экраном через модификации его политик.
С учетом этого обновления сейчас на платформе доступно более 605 правил, из них 474 правил с непосредственно детектирующей логикой.
Почему ориентация на классификацию MITRE
MITRE ATT&CK for Enterprise, служит де-факто отраслевым стандартом и включает в себя 201 технику, 424 подтехники и тысячи процедур. Поэтому, выбирая направление развития SIEM-платформы, Kaspersky Unified Monitoring and Analysis Platform (KUMA) «Лаборатория Касперского» основывается именно на принятой у MITRE классификации.
Также, ориентация на MITRE, когда разрабатывается OOTB (Out-of-the-box) контент SIEM платформы. На данный момент данное решение покрывает 309 техник MITRE ATT&CK.
Что еще добавили и доработали в KUMA SIEM
Кроме вышеупомянутой логики детектирования T1562.004, были добавлены в SIEM-систему KUMA нормализаторы, позволяющие работать со следующими источниками событий:
- [OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN — нормализатор предназначен для обработки части событий из журналов Security, System операционной системы Microsoft Windows Server. Нормализатор [OOTB] Microsoft Products via KES WIN поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA KES WIN 6 по syslog.
- [OOTB] Extreme Networks Summit Wireless Controller — нормализатор для некоторых событий аудита устройства Extreme Networks Summit Wireless Controller (Модель: WM3700, версия прошивки: 5.5.5.0-018R).
- [OOTB] Kaspersky Security for MS Exchange SQL — нормализатор для событий системы Kaspersky Security for Exchange (KSE) версия 9.0, хранящихся в БД.
- [OOTB] Tionix VDI file — нормализатор, поддерживающий обработку части событий системы Tionix VDI (версия 2.8), хранящихся в файле tionix_lntmov.log.
- [OOTB] SolarWinds DameWare MRC xml — нормализатор, поддерживающий обработку части событий системы DameWare Mini Remote Control (MRC) версия 7.5, хранящихся в журнале Application операционной системы Windows. Нормализатор обрабатывает события, создаваемые провайдером «dwmrcs».
- [OOTB] H3C Routers syslog — нормализатор для некоторых типов событий, поступающих от сетевых устройств H3C (Huawei-3Com) SR6600 (прошивка Comware 7) по syslog. Нормализатор поддерживает формат событий «standard»(RFC 3164-compliant format).
- [OOTB] Cisco WLC syslog — нормализатор для некоторых типов событий, поступающих от сетевых устройств Cisco WLC (2500 Series Wireless Controllers, 5500 Series Wireless Controllers, 8500 Series Wireless Controllers, Flex 7500 Series Wireless Controllers) по syslog.
- [OOTB] Huawei iManager 2000 file — нормализатор, поддерживающий обработку части событий системы Huawei iManager 2000, хранящихся в файлах \client\logs\rpc, \client\logs\deploy\ossDeployment.
Также, эксперты «Лаборатории Каспреского» доработали следующие нормализаторы:
- для продуктов компании Microsoft — переработанный нормализатор для Windows выложен в публичный доступ;
- для системы PT NAD — разработан новый нормализатор для PT NAD версии 11.1, 11.0;
- для UNIX-подобных операционных систем — реализована поддержка дополнительных типов событий;
- для CheckPoint — работа над нормализатором с целью поддержки Checkpoint R 81;
- для системы Citrix NetScaler — реализована поддержка дополнительных событий Citrix ADC 5550 — NS13.0;
- для FreeIPA — переработанный нормализатор выложен в публичный доступ.
Итого поддерживается уже около 250 источников, и список продолжает расширяться, а также повышать качество каждого из коннекторов. С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.2 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции поставляемых из коробки.
Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru
Помните, что не только Вашему бизнесу нужна защита!
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО».
Если у Вас возникли вопросы или желаете получить консультацию по определенному решению — позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС
Приятной работы!
|