В ходе атак на инфраструктуру различных компаний злоумышленники все чаще прибегают к манипуляции с модулями, взаимодействующими с процессом Local Security Authority (LSA). Это позволяет им получать доступ к учетным данным пользователей и закрепиться в системе, повысить свои привилегии или развить атаку на другие системы атакуемой компании. Поэтому при подготовке очередного ежеквартального обновления для нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform мы добавили правила, служащие для детектирования таких попыток. По классификации MITRE ATT&CK, новые правила позволяют выявлять техники T1547.002, T1547.005 и T1556.002.

В чем суть техник T1547.002, T1547.005 и T1556.002?

Оба вышеупомянутых варианта техники T1547 подразумевают загрузку процессом LSA вредоносных модулей. Подтехника 002 описывает добавление вредоносных DLL-библиотек с пакетами проверки подлинности Windows (Windows Authentication Packages), а подтехника 005 — библиотек с пакетами поставщиков безопасности (Security Support Providers). Загрузка этих модулей позволяет злоумышленникам получить доступ к памяти процесса LSA, то есть к критическим данным, таким как учетные данные пользователей.

Техника T1556.002 описывает сценарий, когда атакующий регистрирует в системе вредоносные DLL-библиотеки фильтров паролей (Password Filter), которые по сути являются механизмом, принуждающим к исполнению парольных политик. Когда легитимный пользователь меняет пароль или же устанавливает новый, процесс LSA сверяет его со всеми зарегистрированными фильтрами, при этом он вынужден передавать фильтрам пароли в открытом, нешифрованном виде. То есть если злоумышленнику удается внедрить в систему свой вредоносный фильтр паролей, то он сможет собирать пароли при каждом запросе.

Все три техники подразумевают подкладывание вредоносных библиотек в директорию C:Windowssystem32, а также их регистрацию в ветке системного реестра SYSTEMCurrentControlSetControlLSA с ключами Authentication Packages для T1547.002, Security Packages для T1547.005 и Notification Packages для T1556.002.

Как KUMA SIEM противостоит техникам T1547.002, T1547.005 и T1556.002

Для противодействия данным техникам в Kaspersky Unified Monitoring and Analysis Platform будут добавлены правила R154_02–R154_10, детектирующие, помимо прочего, следующие события:

Загрузка подозрительных пакетов аутентификации, пакетов парольных фильтров и модулей SSP (Security Support Provider) с помощью событий 4610, 4614, 4622 соответственно.
Команды в cmd.exe и powershell.exe, направленные на модификацию ветки реестра LSA и ключей Authentication Packages, Notification Packages, Security Packages.
Изменения в ветке реестра LSASecurity Packages, которые могут включать вредоносный файл с помощью события изменения реестра 4657.

Что еще мы улучшаем в обновлении KUMA

В очередном обновлении мы также добавляем правило R999_99, которое служит для детектирования изменения критичных атрибутов аккаунтов в Active Directory, отвечающих за выполнение различных действий при каждом входе в систему, таких, например, как Script-Path и msTSInitialProgram.

Эти атрибуты отвечают за выполнение скриптов при входе в систему. То есть скриптов, которые выполняются каждый раз, когда пользователь входит в сеть. Это делает их удобной мишенью для злоумышленников с целью закрепления в сети. Манипуляции с этими атрибутами могут свидетельствовать о несанкционированных попытках закрепления в системе или повышения привилегий, то есть применения техники T1037.003 по классификации MITRE ATT&CK.

Стратегия обнаружения этих манипуляций заключается в мониторинге журналов событий Windows, в частности события с идентификатором 5136. Это событие регистрирует любые изменения, внесенные в объекты в Active Directory, включая изменения атрибутов.

После установки последнего обновления на платформе KUMA будет доступно более 700 правил. Таким образом, к концу 2024 года наше решение будет покрывать 400 техник MITRE ATT&CK. Разумеется, мы не стремимся создать правила, детектирующие все описанные в матрице техники. Значительную их часть покрыть не представляется возможным, просто исходя из их природы (они подразумевают выполнение действий вне защищаемого периметра либо не покрываются полностью решением класса SIEM в принципе). Однако в четвертом квартале этого года мы постарались еще больше увеличить степень покрытия техник, описанных в MITRE ATT&CK, а также расширить детектирующую логику в части уже покрытых техник.

Новые и доработанные нормализаторы

В свежем обновлении мы также добавляем в нашу SIEM-систему нормализаторы, позволяющие работать со следующими источниками событий:

[OOTB] McAfee Endpoint DLP syslog
[OOTB] Lastline Enterprise syslog cef
[OOTB] MongoDB syslog
[OOTB] GajShield Firewall syslog
[OOTB] Eltex ESR syslog
[OOTB] Linux auditd syslog for KUMA 3.2
[OOTB] Barracuda Cloud Email Security Gateway syslog
[OOTB] Yandex Cloud
[OOTB] InfoWatch Person Monitor SQL
[OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog

Кроме того, наши эксперты доработали следующие нормализаторы:

[OOTB] Microsoft Products via KES WIN
[OOTB] Microsoft Products for KUMA 3
[OOTB] KSC from SQL
[OOTB] Ideco UTM syslog
[OOTB] KEDR telemetry
[OOTB] ViPNet TIAS syslog
[OOTB] PostgreSQL pgAudit syslog
[OOTB] KSC PostgreSQL
[OOTB] Linux auditd syslog for KUMA 3.2

С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.4 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции. В нашем блоге вы также можете ознакомиться с информацией об обновлениях, которые платформа KUMA получила в первом, втором и третьем кварталах 2024 года.

Подробнее о нашей SIEM-системе Kaspersky Unified Monitoring and Analysis Platform можно узнать на официальной странице продукта.

Блог Касперского

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x