反击:MaxPatrol SIEM 针对勒索软件添加了 62 条新规则来检测威胁

阅读量63971

发布时间 : 2024-01-12 11:30:06

Positive Technologies 专家更新了他们的产品专业知识。

MaxPatrol SIEM 扩展了其威胁检测功能 – 产品中添加了 62 条新规则。在他们的帮助下,信息安全事件监控系统能够检测勒索软件的活动,甚至更多黑客工具运行的迹象。

这些更新影响了以下功能包:

  • “使用专门软件进行攻击”
  • “暴力攻击”
  • “Windows 中进程启动的调查”,
  • “网络设备。妥协指标”,
  • 战术:获取凭证、执行、防止检测、数据收集、破坏性影响、进入边界、巩固、提升特权、组织控制、探索。

网络犯罪分子不断改进他们的攻击方法并创建新工具,以保持对防御系统的隐形。Positive Technologies专家持续监控网络攻击趋势,研究恶意软件和工具开发和销售的专门论坛,并分析公共事件调查报告(包括我们自己的安全专家中心发布的报告)。根据有关攻击者如何攻击的当前数据,Positive Technologies 定期更新其在 MaxPatrol SIEM 中的专业知识。

在已发布的更新中最重要的规则中,MaxPatrol SIEM 用户可能会发现:

  • 勒索软件的典型行为,例如批量创建文件或通过同一进程修改文件;
  • 先前检测到的黑客工具活动的其他迹象;其中,例如 PPLBlade、Powermad、NimExec 和 SharpHound,目前仍被积极用于攻击;
  • 流行的技术“加载第三方 DLL”(恶意软件和 APT 组织利用它来渗透网络并升级权限)和“欺骗父 PID”(攻击者用来通过更改进程的父进程来隐藏恶意活动)策略“阻止通过 MITRE ATT&CK 矩阵进行检测”。

据 PT 专家安全中心称,2021 年至 2023 年,21% 的事件 与企业基础设施节点上的数据加密或删除有关。最常见的勒索软件是 Black Basta、Rhysida 和 LockBit,勒索软件运营商不断扩大其武器库。Positive Technologies 指出,勒索软件迅速从一个节点传播到另一个节点。“通过更新的取证包,MaxPatrol SIEM 用户将收到有关第一台计算机受到勒索软件攻击的信号。通过及时清除病毒,他们将能够及早阻止攻击并及时调查事件。”该公司补充道。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66