Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item unix_mitre_attck_command_and_control: PT-CR-2648: Unix_Possible_GSocket_Usage: Попытка подключения к внешнему узлу через порт 443 с помощью утилиты из пакета Global Socket Toolkit (gsocket, blitz, gs-mount или gs-sftp). Это может быть действием злоумышленника с целью сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра unix_mitre_attck_command_and_control: PT-CR-2639: Unix_Possible_GS_Netcat_Usage: Попытка подключиться к внешнему узлу на порт назначения 443. Это может быть признаком использования утилиты gs-netcat для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра unix_mitre_attck_command_and_control: PT-CR-295: Unix_Droppers_By_Daemons: Запущена утилита для передачи файлов от имени служебной учетной записи remote_work: PT-CR-1913: File_Copy_Via_RemoteAccess_Tool: Создан подозрительный файл с помощью утилиты для удаленного доступа mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil" mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass mitre_attck_lateral_movement: PT-CR-222: Downloading_Remote_File_Via_Lolbas: Обнаружена попытка загрузить файлы mitre_attck_lateral_movement: PT-CR-1373: Remote_Creation_Suspicious_File: Удаленное создание потенциально опасного файла mitre_attck_lateral_movement: PT-CR-224: Remote_Copying_Malicious_File: Обнаружена попытка скопировать потенциально вредоносный файл следующих расширений: hta, ps1, py, vbe, cs, csproj, proj, com, cmd, bat, vbs, js, xsl, sct mitre_attck_lateral_movement: PT-CR-225: Creation_Suspicious_File: Обнаружено создание потенциально вредоносного файла mssql_database: PT-CR-408: MSSQL_Create_File_In_System: Попытка создать файл на жестком диске через базу данных hacking_tools: PT-CR-2692: Covenant_File_Upload: Загружен файл с помощью С2-фреймворка Covenant hacking_tools: PT-CR-365: Koadic_WMIC_Stager: Обнаружено возможное использование программного обеспечения Koadic через сценарий WMI hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Возможный запуск загрузчика Cobalt Strike hacking_tools: PT-CR-748: Cobalt_Strike_Payload_Delivery_Check: Множественные попытки проверки доставки полезной нагрузки с помощью программного обеспечения Cobalt Strike hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Пользователь скачал полезную нагрузку с помощью зашифрованной команды PowerShell hacking_tools: PT-CR-2756: Subrule_WannaMine_Usage: Признаки заражения криптомайнером WannaMine. К таким признакам относятся подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также выполнение вредоносного кода путем размещения библиотеки рядом с легитимным приложением hacking_tools: PT-CR-584: Empire_Stager: Запущен PS-скрипт с подстрокой, характерной для Empire Stager hacking_tools: PT-CR-351: Koadic_Bitsadmin_Stager: Обнаружено возможное использование программного обеспечения Koadic через "BITSAdmin" hacking_tools: PT-CR-2757: WannaMine_Usage: Подозрительная активность, схожая с активностью криптомайнера WannaMine. Признаками подозрительной активности являются подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также запуск вредоносного кода путем размещения библиотеки рядом с легитимным приложением hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32" hacking_tools: PT-CR-587: SilentTrinity_Stager: Обнаружено исполнение загрузчика SilentTrinity hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application hacking_tools: PT-CR-361: Koadic_Rundll32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Rundll32" hacking_tools: PT-CR-761: Subrule_Duplex_Powershell_Connect: Обнаружено двустороннее соединение с помощью процесса powershell.exe pt_ngfw: PT-CR-2933: NGFW_Antivirus_Alert: Антивирус в PT NGFW обнаружил зараженный файл в передаваемом трафике и предотвратил его передачу unix_mitre_attck_lateral_movement: PT-CR-1699: Unix_File_Download_Via_GTFOBINS: Создан файл с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах mitre_attck_defense_evasion: PT-CR-2706: Suspicious_File_Creation_In_Sysvol: Создан подозрительный файл в одном из дочерних каталогов общего сетевого ресурса Sysvol: Startup, Shutdown, Logon, Logoff, Scripts. Эти каталоги используются для хранения исполняемых файлов и файлов сценариев, необходимых для управления групповыми политиками и другими настройками в Active Directory. Это может быть попыткой злоумышленника закрепиться в системе kaspersky: PT-CR-1835: Subrule_Kaspersky_Create_Package_And_Task: В Kaspersky Security Center созданы пакет установки и задача на установку kaspersky: PT-CR-1837: Kaspersky_Install_Malicious_App: Подозрительное приложение установлено из Kaspersky Security Center kaspersky: PT-CR-1836: Subrule_Kaspersky_Run_Task_Install_App: Из Kaspersky Security Center запущена задача и установлено приложение mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender mitre_attck_command_and_control: PT-CR-845: Download_Via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell mitre_attck_command_and_control: PT-CR-608: Download_File_Through_Curl: Запущена утилита для загрузки файлов mitre_attck_command_and_control: PT-CR-467: Suspicious_Connection: Обнаружено сетевое обращение исполняемых файлов mitre_attck_command_and_control: PT-CR-1816: Windows_Desktopimgdownldr_Ingress_Tool_Transfer: Использование встроенной утилиты desktopimgdownldr с параметрами, которые могут применяться для доставки инструментов атаки mitre_attck_command_and_control: PT-CR-219: Remote_File_Download_Via_Certutil: Попытка загрузить данные с внешних ресурсов с помощью встроенной утилиты certutil. Certutil можно использовать для получения информации о центре сертификации и настройки служб сертификатов microsoft_mecm: PT-CR-1876: MECM_Distribute_Content: Передача пакета или приложения на точку распространения в MECM mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger) mitre_attck_execution: PT-CR-1090: MSDT_Remote_Code_Execution: Эксплуатация уязвимости CVE-2022-34713 в службе msdt.exe, в результате чего вредоносный файл скачан с узла злоумышленника mitre_attck_execution: PT-CR-1093: Subrule_Payload_Download_Via_WebClient: Вложенное правило правила MSDT_Remote_Code_Execution обнаружило подключение к удаленному хранилищу и скачивание вредоносного файла mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_Or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD)