Экспертиза MaxPatrol SIEM

unix_mitre_attck_privilege_escalation: PT-CR-1747: Unix_Exploiting_OverlayFS: Повышение привилегий с помощью уязвимости ядра Linux, связанной с файловой системой OverlayFS (CVE-2023-0386) unix_mitre_attck_privilege_escalation: PT-CR-2403: CVE_2024_1086_Linux_LPE: Эксплуатация уязвимости CVE-2024-1086 в компоненте netfilter. Злоумышленник может выполнить код на уровне ядра и повысить свои привилегии в системе при помощи ошибки двойного освобождения памяти в модуле nf_tables pt_nad: PT-CR-737: NAD_SAM_Account_Name_Spoofing: Пользователь запросил TGT-билет vulnerabilities: PT-CR-2469: CVE_2024_26229_CSC_Service_PrivEsc: Эксплуатация уязвимости CVE-2024-26229 в драйвере автономных файлов csc.sys позволяет злоумышленнику с привилегиями пользователя повысить свои права до NT AUTHORITY/SYSTEM в текущем сеансе командной строки. Это может привести к компрометации локальных и доменных учетных записей пользователей системы, а также пользователей, ранее получавших доступ к узлу. Используя скомпрометированные данные, злоумышленник может перемещаться внутри периметра целевой инфраструктуры vulnerabilities: PT-CR-891: Possible_CVE_2020_1350: Возможная эксплуатация уязвимости CVE-2020-1350 vulnerabilities: PT-CR-893: PrinterPort_Backdoor: Возможная эксплуатация уязвимости CVE-2020-1048 службы печати Windows vulnerabilities: PT-CR-892: Possible_CVE_2021_1647: Возможная эксплуатация уязвимости CVE-2021-1647 в Windows Defender vulnerabilities: PT-CR-829: Certified_Priv_Esc_CVE_2022_26923: Привилегии в домене повышены через уязвимость CVE-2022-26923 в службах сертификатов Active Directory vulnerabilities: PT-CR-2078: CVE_2023_4911_GLIBC_Buffer_Overflow: Правило обнаруживает локальное повышение привилегий через переполнение буфера. Атакующие, используя уязвимость CVE-2023-4911, могут запустить SUID-программы для выполнения кода с повышенными привилегиями vulnerabilities: PT-CR-1994: CVE_2023_22515_Confluence: Эксплуатация уязвимости CVE-2023-22515 в Confluence, связанная с созданием аккаунтов с правами администратора без аутентификации на сервере vulnerabilities: PT-CR-2074: Subrule_CVE_2023_4911_GLIBC_Buffer_Overflow: Сабруль к правилу CVE_2023_4911_GLIBC_Buffer_Overflow. Правило обнаруживает локальное повышение привилегий через переполнение буфера. Атакующие, используя уязвимость CVE-2023-4911, могут запустить SUID-программы для выполнения кода с повышенными привилегиями vulnerabilities: PT-CR-863: Symlink_Via_SpoolDirectory: Непривилегированный пользователь произвел запись с помощью ссылки и службы spooler vulnerabilities: PT-CR-1719: PrivEsc_Via_UAC_Elevated_Data: Попытка повысить привилегии до системных с помощью утилиты IFaultrepElevatedDataCollectionUAC vulnerabilities: PT-CR-628: CVE_2021_41379_Exploitation: Эксплуатация уязвимости CVE-2021-41379 vulnerabilities: PT-CR-890: Possible_CVE_2019_1388: Возможная эксплуатация уязвимости CVE-2019-1388 vulnerabilities: PT-CR-681: CVE_2022_26503_Exploitation: Эксплуатация уязвимости CVE-2022-26503 vulnerabilities: PT-CR-862: Subrule_StartProcess_And_Create_ConfigMsi: Пользователь запустил приложение, которое пытается создать системный каталог С:\Config.msi vulnerabilities: PT-CR-889: LPE_7zip_CVE_2022_29072: Возможная эксплуатация уязвимости CVE-2022-29072 в 7-Zip для повышения привилегий vulnerabilities: PT-CR-1983: Possible_CVE_2023_20198_Cisco_IOS_XE: Возможная эксплуатация уязвимости CVE-2023-20198 в Cisco IOS XE, связанная с повышением привилегий путем создания новой учетной записи администратора vulnerabilities: PT-CR-850: PrintSpooler_PrivEsc_CVE_2022_30206: Повышение привилегий с помощью уязвимости CVE-2022-30206 в службе печати Print Spooler vulnerabilities: PT-CR-849: PrintSpooler_PrivEsc: Привилегии повышены через уязвимость службы печати Print Spooler vulnerabilities: PT-CR-683: CVE_2022_26503_Subrule_2: Процесс Veeam.EndPoint.Service запустил другой процесс sap_attack_detection: PT-CR-157: SAPASABAP_Start_Critical_Module: Запуск критически важного функционального модуля SAP sap_attack_detection: PT-CR-158: SAPASABAP_Start_Critical_Transaction: Запуск критически важной транзакции SAP mitre_attck_privilege_escalation: PT-CR-857: Subrule_Elevated_Process_Run: Непривилегированный пользователь запустил процесс mitre_attck_privilege_escalation: PT-CR-861: Subrule_Pwned_Pipe: Процесс открыл подозрительный канал mitre_attck_privilege_escalation: PT-CR-1218: Subrule_RasMan_Pipe: Вспомогательное правило для обнаружения техники повышения привилегий через Rasman Potato mitre_attck_privilege_escalation: PT-CR-859: Subrule_IMarshal_Interface: Обнаружено создание интерфейса IMarshal mitre_attck_privilege_escalation: PT-CR-853: RoguePotato_PrivEsc: Привилегии повышены с помощью техники RoguePotato mitre_attck_privilege_escalation: PT-CR-1217: RasMan_Potato: Обнаружено локальное повышение привилегий от служебной учетной записи до прав SYSTEM с помощью техники RasmanPotato mitre_attck_privilege_escalation: PT-CR-1933: GodPotato_PrivEsc: Повышение привилегий с помощью техники GodPotato позволяет злоумышленнику с привилегией ImpersonatePrivilege повысить свои права до пользователя System. После этого злоумышленник может извлечь со компрометированного узла учетные данные к различным сервисам локальных пользователей, а в некоторых случаях и других пользователей, получавших доступ к данному узлу. Использование этих данных позволит злоумышленнику горизонтально переместиться (Lateral Movement) на другие узлы инфраструктуры. mitre_attck_privilege_escalation: PT-CR-2491: CVE_2022_38028_PrivEsc_Via_Spoolsv: Эксплуатация уязвимости CVE-2022-38028 в службе диспетчера очереди печати Windows (Windows Print Spooler), что может привести к запуску вредоносных файлов с привилегиями уровня SYSTEM mitre_attck_privilege_escalation: PT-CR-2500: SilverPotato_PrivEsc: Повышение привилегий с помощью техники SilverPotato. Эта техника позволяет пользователям, входящим в группу "Distributed COM Users" или "Performance Log Users", удаленно взаимодействовать с приложением в контексте интерактивного пользователя и спровоцировать аутентификацию, которая в дальнейшем ретранслируется на целевой узел mitre_attck_privilege_escalation: PT-CR-2490: Subrule_CVE_2022_38028_Creating_Artifacts: Копирование и изменение файла ограничений JavaScript (mpdw-constraints.js) и регистрация пользовательского обработчика протоколов с целью повысить привилегии mitre_attck_privilege_escalation: PT-CR-860: Subrule_Not_Self_Relay: Обнаружена попытка провести атаку NTLM relay mitre_attck_privilege_escalation: PT-CR-2241: Subrule_S4UTomato_IMarshal_Creation: Процесс с характерным для утилиты S4UTomato содержимым командной строки создал интерфейс IMarshal mitre_attck_privilege_escalation: PT-CR-466: Suspicious_Windows_Kernel_Creating: Создан файл с образом ядра операционных систем семейства Windows NT mitre_attck_privilege_escalation: PT-CR-852: Remote_Potato_Relay_Hash: NTLM-хеш пользователя, вошедшего в систему, перехвачен с помощью техники RemotePotato mitre_attck_privilege_escalation: PT-CR-2135: PetitPotato_PrivEsc: Использован инструмент PetitPotato для повышения привилегий mitre_attck_privilege_escalation: PT-CR-2063: CoercedPotato_PrivEsc: Попытка использовать технику CoercedPotato. Повышение привилегий с помощью техники CoercedPotato позволяет злоумышленникам с привилегией ImpersonatePrivilege повысить свои права до пользователя System. После этого злоумышленники могут извлечь из скомпрометированного узла учетные данные локальных пользователей, а в некоторых случаях и других пользователей, получавших доступ к данному узлу. Использование этих данных позволит злоумышленникам осуществить перемещение внутри периметра (lateral movement) на другие узлы инфраструктуры mitre_attck_privilege_escalation: PT-CR-855: Subrule_Action_After_Pipe_Connected: Привилегии повышены до администратора или System с помощью инструмента MultiPotato mitre_attck_privilege_escalation: PT-CR-1353: PrivEsc_Via_Comctl32: Эксплуатация логической ошибки при создании папки, для доступа к которой необходимы права администратора. Ошибка позволяет повысить уровень привилегий пользователя до SYSTEM при срабатывании определенного триггера mitre_attck_privilege_escalation: PT-CR-851: Remote_Potato_Capture_Hash: NTLM-хеш пользователя перехвачен с помощью техники RemotePotato mitre_attck_privilege_escalation: PT-CR-846: JuicyPotato_PrivEsc: Обнаруживает повышение привилегий до пользователя System с помощью техники JuicyPotato или JuicyPotatoNG. После этого злоумышленник может извлечь со компрометированного узла учетные данных к различным сервисам локальных пользователей, а в некоторых случаях и других пользователей, получавших доступ к данному узлу. Использование этих данных позволит злоумышленнику горизонтально переместиться (Lateral Movement) на другие узлы инфраструктуры. mitre_attck_privilege_escalation: PT-CR-465: Spoolsv_Priv_Escalation: Обнаружено подозрительное поведение встроенной утилиты Microsoft Windows "spoolsv" mitre_attck_privilege_escalation: PT-CR-2148: Subrule_HTTP_Request: Процесс отправил HTTP-запрос и получил ответ от системы mitre_attck_privilege_escalation: PT-CR-1212: PrintNotify_Potato: Привилегии служебной учетной записи повышены с помощью техники PrintNotifyPotato mitre_attck_privilege_escalation: PT-CR-2147: LocalPotato_PrivEsc: Повышение привилегий с помощью техники LocalPotato путем подмены контекста при локальной NTLM-аутентификации mitre_attck_privilege_escalation: PT-CR-847: MultiPotato_PrivEsc: Для повышения привилегий использован инструмент MultiPotato mitre_attck_privilege_escalation: PT-CR-2242: S4UTomato_PrivEsc: Привилегии сервисной учетной записи повышены до уровня SYSTEM с помощью инструмента S4UTomato mitre_attck_execution: PT-CR-1908: Execute_Over_WER_Service: Злоумышленники могут воспользоваться уязвимостью службы WER, которая позволяет подменить исполняемый файл и запустить файл злоумышленников с системными привилегиями active_directory_attacks: PT-CR-654: SAM_Account_Name_Spoofing: Пользователь переименовал объект AD или запросил TGT-билет от имени учетной записи, совпадающей с именем контроллера домена. Это может свидетельствовать об атаке sAMAccountName spoofing. Она может позволить злоумышленнику получить TGT-билет, например на имя контроллера домена, закрепиться в системе и повысить свои привилегии active_directory_attacks: PT-CR-2542: RemoteKrbRelay_Usage: Пользователь, не являющийся инициатором подключения, прошел аутентификацию Kerberos. Это может быть признаком использования утилиты RemoteKrbRelay, которая позволяет удаленно провоцировать и ретранслировать Kerberos-аутентификацию с целью получить доступ к какой-либо службе с уровнем привилегий целевой учетной записи, используя техники CertifiedDCOM и SilverPotato active_directory_attacks: PT-CR-838: ShadowCred_Used: Атрибут msds-keycredentiallink использован для авторизации учетной записи компьютера в домене без использования пароля. Это может быть признаком использования KrbRelayUp для локального повышения привилегий с помощью Shadow Credentials. Злоумышленник может использовать эту технику для получения учетных данных других пользователей и горизонтального перемещения на другие узлы инфраструктуры active_directory_attacks: PT-CR-837: KrbRelay_Usage: Возможное использование утилит KrbRelay или DavRelayUp, позволяющих использовать отсутствие подписи запросов LDAP для ретрансляции процесса аутентификации и получения TGS-билета для SPN учетной записи от имени администратора. После этого злоумышленник может повысить свои привилегии до локального администратора и выполнить вредоносный код на скомпрометированном узле active_directory_attacks: PT-CR-1203: Abuse_Kerberos_RC4: Возможная эксплуатация уязвимости CVE-2022-33679 в Kerberos. Эта уязвимость позволяет злоумышленникам провести сеанс от имени прошедшего аутентификацию пользователя и выполнить произвольный код на скомпрометированном узле. Таким способом злоумышленники могут получить учетные данные пользователей и горизонтально переместиться на другие узлы инфраструктуры active_directory_attacks: PT-CR-2298: Zerologon_Attack: Эксплуатация уязвимости CVE-2020-1472 (Zerologon), которая позволяет сменить пароль к учетной записи контроллера домена