Экспертиза MaxPatrol SIEM

mitre_attck_command_and_control: PT-CR-467: Suspicious_Connection: Обнаружено сетевое обращение исполняемых файлов mitre_attck_command_and_control: PT-CR-1816: Windows_Desktopimgdownldr_Ingress_Tool_Transfer: Использование встроенной утилиты desktopimgdownldr с параметрами, которые могут применяться для доставки инструментов атаки mitre_attck_command_and_control: PT-CR-845: Download_Via_Encoded_Powershell: Пользователь скачал полезную нагрузку с помощью закодированной команды PowerShell mitre_attck_command_and_control: PT-CR-219: Remote_File_Download_Via_Certutil: Попытка загрузить данные с внешних ресурсов с помощью встроенной утилиты certutil. Certutil можно использовать для получения информации о центре сертификации и настройки служб сертификатов mitre_attck_command_and_control: PT-CR-609: Download_File_Through_Windows_Defender: Обнаружена попытка скачать файл с помощью антивируса Windows Defender mitre_attck_command_and_control: PT-CR-608: Download_File_Through_Curl: Запущена утилита для загрузки файлов remote_work: PT-CR-1913: File_Copy_Via_RemoteAccess_Tool: Создан подозрительный файл с помощью утилиты для удаленного доступа antimalware: PT-CR-722: Sandbox_Full_Scan_Malware: Система PT Sandbox обнаружила нежелательный или вредоносный объект unix_mitre_attck_command_and_control: PT-CR-295: Unix_Droppers_By_Daemons: Запущена утилита для передачи файлов от имени служебной учетной записи unix_mitre_attck_command_and_control: PT-CR-2648: Unix_Possible_GSocket_Usage: Попытка подключения к внешнему узлу через порт 443 с помощью утилиты из пакета Global Socket Toolkit (gsocket, blitz, gs-mount или gs-sftp). Это может быть действием злоумышленника с целью сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра unix_mitre_attck_command_and_control: PT-CR-2639: Unix_Possible_GS_Netcat_Usage: Попытка подключиться к внешнему узлу на порт назначения 443. Это может быть признаком использования утилиты gs-netcat для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра hacking_tools: PT-CR-351: Koadic_Bitsadmin_Stager: Обнаружено возможное использование программного обеспечения Koadic через "BITSAdmin" hacking_tools: PT-CR-761: Subrule_Duplex_Powershell_Connect: Обнаружено двустороннее соединение с помощью процесса powershell.exe hacking_tools: PT-CR-365: Koadic_WMIC_Stager: Обнаружено возможное использование программного обеспечения Koadic через сценарий WMI hacking_tools: PT-CR-750: Cobalt_Strike_Powershell_Payload_Delivery: Пользователь скачал полезную нагрузку с помощью зашифрованной команды PowerShell hacking_tools: PT-CR-353: Koadic_MSHTA_Stager: Обнаружено возможное использование программного обеспечения Koadic (фреймворк Koadic предназначен для проведения пост-эксплуатации в ОС семейства Windows), которое запускает полезную нагрузку на атакуемом узле с помощью Microsoft Windows HTML Application hacking_tools: PT-CR-2692: Covenant_File_Upload: Загружен файл с помощью С2-фреймворка Covenant hacking_tools: PT-CR-587: SilentTrinity_Stager: Обнаружено исполнение загрузчика SilentTrinity hacking_tools: PT-CR-357: Koadic_REGSVR32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Regsvr32" hacking_tools: PT-CR-584: Empire_Stager: Запущен PS-скрипт с подстрокой, характерной для Empire Stager hacking_tools: PT-CR-755: Cobalt_Strike_Stager: Возможный запуск загрузчика Cobalt Strike hacking_tools: PT-CR-3049: ToxicEye_Usage: Подозрительная активность, схожая с активностью трояна удаленного доступа ToxicEye, использующего Telegram в качестве управляющего сервера. Признаки подозрительной активности: DNS-запрос к API Telegram, создание характерных динамических библиотек, закрепление в системе путем создания запланированной задачи или копии процесса в другом каталоге либо путем получения доступа к файлам, содержащим конфиденциальные данные hacking_tools: PT-CR-361: Koadic_Rundll32_Stager: Обнаружено возможное использование программного обеспечения Koadic через "Rundll32" hacking_tools: PT-CR-748: Cobalt_Strike_Payload_Delivery_Check: Множественные попытки проверки доставки полезной нагрузки с помощью программного обеспечения Cobalt Strike hacking_tools: PT-CR-2756: Subrule_WannaMine_Usage: Признаки заражения криптомайнером WannaMine. К таким признакам относятся подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также выполнение вредоносного кода путем размещения библиотеки рядом с легитимным приложением hacking_tools: PT-CR-2757: WannaMine_Usage: Подозрительная активность, схожая с активностью криптомайнера WannaMine. Признаками подозрительной активности являются подозрительные DNS-запросы от легитимных процессов, создание большого количества подозрительных файлов в одной директории, а также запуск вредоносного кода путем размещения библиотеки рядом с легитимным приложением kaspersky: PT-CR-1837: Kaspersky_Install_Malicious_App: Подозрительное приложение установлено из Kaspersky Security Center kaspersky: PT-CR-1836: Subrule_Kaspersky_Run_Task_Install_App: Из Kaspersky Security Center запущена задача и установлено приложение kaspersky: PT-CR-1835: Subrule_Kaspersky_Create_Package_And_Task: В Kaspersky Security Center созданы пакет установки и задача на установку mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_Or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя mitre_attck_initial_access: PT-CR-3032: Suspicious_Living_Off_Trusted_Sites_Usage: Взаимодействие с легитимными сайтами из группы LOTS (Living Off Trusted Sites): создание потока данных после обращения к сайту LOTS или DNS-запрос с последующим запуском дочернего процесса, установкой сетевого подключения или созданием файла с подозрительным расширением. Злоумышленники используют сайты LOTS для фишинга, эксфильтрации, взаимодействия с командным сервером и загрузки утилит на узел жертвы mitre_attck_lateral_movement: PT-CR-1373: Remote_Creation_Suspicious_File: Удаленное создание потенциально опасного файла mitre_attck_lateral_movement: PT-CR-222: Downloading_Remote_File_Via_Lolbas: Обнаружена попытка загрузить файлы mitre_attck_lateral_movement: PT-CR-225: Creation_Suspicious_File: Обнаружено создание потенциально вредоносного файла mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass pt_cs: PT-CR-2851: PTCS_Download_Tools_Use: Сетевая активность утилиты, используемой для отправки файлов из внешнего источника в скомпрометированную систему unix_mitre_attck_lateral_movement: PT-CR-1699: Unix_File_Download_Via_GTFOBINS: Создан файл с помощью утилиты группы GTFOBins. GTFOBins - двоичные файлы Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно настроенных системах pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD) pt_ngfw: PT-CR-2933: NGFW_Antivirus_Alert: Антивирус в PT NGFW обнаружил зараженный файл в передаваемом трафике и предотвратил его передачу microsoft_mecm: PT-CR-1876: MECM_Distribute_Content: Передача пакета или приложения на точку распространения в MECM mssql_database: PT-CR-408: MSSQL_Create_File_In_System: Попытка создать файл на жестком диске через базу данных mitre_attck_cred_access: PT-CR-600: Esentutil_Copy_File: Запущена утилита "esentutil" mitre_attck_exfiltration: PT-CR-3019: Cloud_Client_Synchronization_Folder_Usage: Действие с файлом в директории, выполняющей автоматическую синхронизацию с облачным хранилищем. Злоумышленники используют такие директории для эксфильтрации или загрузки необходимых инструментов на узел mitre_attck_exfiltration: PT-CR-3047: Bluetooth_File_Transfer: Подключение к именованному каналу с помощью утилиты для передачи файлов по Bluetooth. Это может быть попыткой злоумышленников произвести эксфильтрацию конфиденциальной информации или скачать необходимые инструменты mitre_attck_exfiltration: PT-CR-3018: Web_Service_Interaction_Via_LOLBins: Взаимодействие легитимного процесса из списка Living off the Land Binaries (LOLBins) с веб-ресурсом. Злоумышленники используют такие программы для загрузки необходимых файлов на узел или эксфильтрации mitre_attck_execution: PT-CR-1090: MSDT_Remote_Code_Execution: Эксплуатация уязвимости CVE-2022-34713 в службе msdt.exe, в результате чего вредоносный файл скачан с узла злоумышленника mitre_attck_execution: PT-CR-1093: Subrule_Payload_Download_Via_WebClient: Вложенное правило правила MSDT_Remote_Code_Execution обнаружило подключение к удаленному хранилищу и скачивание вредоносного файла mitre_attck_execution: PT-CR-602: Finger_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows finger.exe (отображает информацию о пользователях на удаленном компьютере, на котором запущена служба Finger) mitre_attck_defense_evasion: PT-CR-2706: Suspicious_File_Creation_In_Sysvol: Создан подозрительный файл в одном из дочерних каталогов общего сетевого ресурса Sysvol: Startup, Shutdown, Logon, Logoff, Scripts. Эти каталоги используются для хранения исполняемых файлов и файлов сценариев, необходимых для управления групповыми политиками и другими настройками в Active Directory. Это может быть попыткой злоумышленника закрепиться в системе