Уважаемые пользователи!

В рамках регулярного исследования ландшафта угроз эксперты изучили статистку анализа вредоносного программного обеспечения в Kaspersky Sandbox. Всего по итогам разбора миллионов самых распространенных вредоносных файлов, этой системой было выявлено 218 техник и подтехник с тысячами уникальных процедур. Тщательно изучив наиболее часто используемые атакующими техники специалисты «Лаборатории Касперского» оперативно доработали и добавили в SIEM-систему KUMA детектирующую логику для их выявления. В частности, в обновлении, вышедшем во втором квартале 2024 года была дополнена логика для детектирования техники отключения/модификации локального межсетевого экрана (Impair Defenses: Disable or Modify System Firewall T1562.004 по классификации MITRE), которая входит в топ тактик, техник и процедур (TTPs), используемых  злоумышленниками.

Как злоумышленники отключают или модифицируют локальный межсетевой экран

Техника T1562.004 позволяет злоумышленникам обойти средства защиты (defense evasion) и получить возможность соединяться по сети с серверами C2 или дать возможность нетипичному приложению иметь базовый доступ к сети.

Распространены 2 способа изменения или отключения хостового файервола: с помощью утилиты netsh или с помощью внесения изменений в параметры реестра Windows.
Вот примеры популярных командных строк, используемых злоумышленниками для этих целей:

• netsh firewall add allowedprogram
• netsh firewall set opmode mode=disable
• netsh advfirewall set currentprofile state off
• netsh advfirewall set allprofiles state off

Пример ветки реестра и значения, добавленного атакующими, разрешающих входящий UDP трафик для приложения C:\Users\<user>\AppData\Local\Temp\server.exe:

Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}

Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\

Users\<user>\AppData\Local\Temp\server.exe|Name=server.exe|’}

Еще один способ, которым пользуются атакующие для отключения Windows FW — остановка сервиса mpssvc.
Чаще всего они осуществляют ее с помощью утилиты net:

• net stop mpssvc

Как SIEM-решение выявляет T1562.004

Делается это с помощью добавленного правила R240, в частности за счет детектирования и корреляции следующих событий:

• остановки злоумышленником сервиса локального межсетевого экрана для обхода его ограничений;
• отключения или модификации злоумышленником политики локального межсетевого экрана с целью его обхода;
• изменения злоумышленником правил на локальном межсетевом экране через реестр для обхода его ограничений;
• отключения злоумышленником локального межсетевого экрана через реестр;
• манипуляций злоумышленника с локальным межсетевым экраном через модификации его политик.

С учетом этого обновления сейчас на платформе доступно более 605 правил, из них 474 правил с непосредственно детектирующей логикой.

Почему ориентация на классификацию MITRE

MITRE ATT&CK for Enterprise, служит де-факто отраслевым стандартом и включает в себя 201 технику, 424 подтехники и тысячи процедур. Поэтому, выбирая направление развития SIEM-платформы, Kaspersky Unified Monitoring and Analysis Platform (KUMA) «Лаборатория Касперского» основывается именно на принятой у MITRE классификации.
Также, ориентация на MITRE, когда разрабатывается OOTB (Out-of-the-box) контент SIEM платформы. На данный момент данное решение покрывает 309 техник MITRE ATT&CK.

Что еще добавили и доработали в KUMA SIEM

Кроме вышеупомянутой логики детектирования T1562.004, были добавлены в SIEM-систему KUMA нормализаторы, позволяющие работать со следующими источниками событий:

• [OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN — нормализатор предназначен для обработки части событий из журналов Security, System операционной системы Microsoft Windows Server. Нормализатор [OOTB] Microsoft Products via KES WIN поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA KES WIN 6 по syslog.
• [OOTB] Extreme Networks Summit Wireless Controller — нормализатор для некоторых событий аудита устройства Extreme Networks Summit Wireless Controller (Модель: WM3700, версия прошивки: 5.5.5.0-018R).
• [OOTB] Kaspersky Security for MS Exchange SQL — нормализатор для событий системы Kaspersky Security for Exchange (KSE) версия 9.0, хранящихся в БД.
• [OOTB] Tionix VDI file — нормализатор, поддерживающий обработку части событий системы Tionix VDI (версия 2.8), хранящихся в файле tionix_lntmov.log.
• [OOTB] SolarWinds DameWare MRC xml — нормализатор, поддерживающий обработку части событий системы DameWare Mini Remote Control (MRC) версия 7.5, хранящихся в журнале Application операционной системы Windows. Нормализатор обрабатывает события, создаваемые провайдером «dwmrcs».
• [OOTB] H3C Routers syslog — нормализатор для некоторых типов событий, поступающих от сетевых устройств H3C (Huawei-3Com) SR6600 (прошивка Comware 7) по syslog. Нормализатор поддерживает формат событий «standard»(RFC 3164-compliant format).
• [OOTB] Cisco WLC syslog — нормализатор для некоторых типов событий, поступающих от сетевых устройств Cisco WLC (2500 Series Wireless Controllers, 5500 Series Wireless Controllers, 8500 Series Wireless Controllers, Flex 7500 Series Wireless Controllers) по syslog.
• [OOTB] Huawei iManager 2000 file — нормализатор, поддерживающий обработку части событий системы Huawei iManager 2000, хранящихся в файлах \client\logs\rpc, \client\logs\deploy\ossDeployment.

   Также, эксперты «Лаборатории Каспреского» доработали следующие нормализаторы:

• для продуктов компании Microsoft — переработанный нормализатор для Windows выложен в публичный доступ;
• для системы PT NAD — разработан новый нормализатор для PT NAD версии 11.1, 11.0;
• для UNIX-подобных операционных систем — реализована поддержка дополнительных типов событий;
• для CheckPoint — работа над нормализатором с целью поддержки Checkpoint R 81;
• для системы Citrix NetScaler — реализована поддержка дополнительных событий Citrix ADC 5550 — NS13.0;
• для FreeIPA — переработанный нормализатор выложен в публичный доступ.

Итого поддерживается уже около 250 источников, и список продолжает расширяться, а также повышать качество каждого из коннекторов. С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.2 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции поставляемых из коробки.

Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru

Помните, что не только Вашему бизнесу нужна защита! 
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО». 

Если у Вас возникли вопросы или желаете получить консультацию по определенному решению — позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС

Приятной работы!