Экспертиза MaxPatrol SIEM

mitre_attck_impact: PT-CR-502: Stop_Important_Service_Registry: Обнаружение попыток остановить важную службу. Список служб находится в табличном списке Significant_Services. remote_work: PT-CR-435: Windows_Firewall_Enable_Local_RDP: Разрешен удаленный доступ к системе по протоколу RDP mitre_attck_cred_access: PT-CR-297: Abusing_CredSSP: Изменены параметры CredSSP для использования менее безопасных алгоритмов проверки подлинности пользователя mitre_attck_cred_access: PT-CR-771: LSASS_Dump_Via_SilentProcessExit: Возможное создание дампа памяти процесса lsass.exe с помощью SilentProcessExit mitre_attck_cred_access: PT-CR-566: LSA_SSP_Change: Изменены значения параметров реестра, в которых прописаны пути к библиотекам Security Support Provider (SSP) mitre_attck_cred_access: PT-CR-2077: Netlogon_Activated: Изменен параметр реестра, отвечающий за разрешение уязвимого подключения по безопасному каналу Netlogon для устройств, работающих не под ОС Windows mitre_attck_cred_access: PT-CR-1769: Subrule_PPLmedic_DllLoad: Утилита PPLmedic внедрила в реестр файл DDL mitre_attck_lateral_movement: PT-CR-1372: Remote_SSP_Dump: Использование скрипта из измененного набора инструмента Impacket, позволяющего удаленно сделать дамп памяти процесса lsass mitre_attck_lateral_movement: PT-CR-785: Modify_And_Start_Remote_Service: Обнаружена попытка выполнения кода или горизонтального перемещения путем изменения команды запуска системных служб mitre_attck_lateral_movement: PT-CR-1752: Service_From_Remote_File_Creation: Создание службы из сетевой директории mitre_attck_lateral_movement: PT-CR-788: Shadow_Key_Creation: Обнаружено создание раздела реестра Shadow для теневого RDP-подключения mitre_attck_lateral_movement: PT-CR-956: Disable_Smartcard: Отключение опции Smart Card в реестре mssql_database: PT-CR-426: MSSQL_Write_Registry_Value: Попытка записать значение ключа реестра из базы данных hacking_tools: PT-CR-757: Internal_Monologue_Attack: Обнаружена атака NetNTLM Downgrade с помощью утилиты Internal Monologue hacking_tools: PT-CR-1838: NimExec_Activity: Активность инструмента NimExec, использующегося для удаленного выполнения команд mitre_attck_defense_evasion: PT-CR-2558: NTLM_Downgrade: Изменены разделы реестра, отвечающие за версию протокола аутентификации NTLM. Это может быть признаком атаки NTLM Downgrade, в ходе которой злоумышленник понижает версию протокола, чтобы ослабить защиту передаваемых данных mitre_attck_defense_evasion: PT-CR-643: Hide_Account_From_Logon_Screen: Имя пользователя скрыто с экрана приветствия mitre_attck_defense_evasion: PT-CR-563: Disable_Restricted_Admin_Mode: Процесс изменил значение ключа реестра для отключения режима Restricted Admin mitre_attck_defense_evasion: PT-CR-193: ControlPanel_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows control.exe (используется для запуска элементов панели управления) mitre_attck_defense_evasion: PT-CR-454: Dnscmd_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows dnscmd.exe (интерфейс командной строки для управления DNS-серверами) mitre_attck_defense_evasion: PT-CR-1360: Suspicious_Registry_Value: Злоупотребление реестром Windows, что может быть признаком подготовки к атаке: закрепления, повышения привилегий, горизонтального перемещения, предотвращения обнаружения, сбора данных и другой вредоносной активности mitre_attck_defense_evasion: PT-CR-940: SharpEventPersist_Usage: Запуск утилиты SharpEventPersist, используемой для закрепления в системе mitre_attck_defense_evasion: PT-CR-312: Disable_LSA_Protection: Отключена защита LSA mitre_attck_defense_evasion: PT-CR-1856: DNS_Over_HTTPS_Enable: Злоумышленники могут включить протокол DNS over HTTPS для браузера или Windows, чтобы скрыть интернет-трафик или процесс утечки данных mitre_attck_defense_evasion: PT-CR-562: Disable_Credential_Guard: Функция Credential Guard отключена в реестре mitre_attck_defense_evasion: PT-CR-773: LSASS_SilentProcessExit_Keys: Созданы разделы реестра для дампа памяти процесса lsass.exe с помощью SilentProcessExit mitre_attck_defense_evasion: PT-CR-313: WDigest_Enable: Включен метод проверки подлинности WDigest mitre_attck_defense_evasion: PT-CR-1208: EventLog_File_Substitute: Подменен путь до файла журнала Windows, чтобы сделать его недоступным mitre_attck_defense_evasion: PT-CR-2224: Safe_Mode_Boot: Модификация параметров системы или ключей реестра, отвечающих за запуск системы, процессов, сервисов или драйверов в безопасном режиме. Это позволит злоумышленникам отключить защиту конечных точек и избежать обнаружения mitre_attck_defense_evasion: PT-CR-2234: Office_Security_Params_Changed: Пользователь изменил ключ реестра, отвечающий за безопасность приложений пакета MS Office. Злоумышленники могут использовать макросы MS Office для закрепления в системе mitre_attck_defense_evasion: PT-CR-1859: Disable_UAC_Remote_Restrictions: Злоумышленники могут отключить UAC в рамках контроля удаленных подключений. Это позволяет высокопривилегированным пользователям подключиться к удаленному узлу с использованием учетной записи из локальной группы администраторов на этом узле mitre_attck_defense_evasion: PT-CR-1210: MiniNT_Key_Created: Служба регистрации событий Windows отключена добавлением ключа MiniNT в реестр mitre_attck_defense_evasion: PT-CR-933: Malicious_Activity_From_Office_Documents: Подозрительная активность офисных программ: создание исполняемых файлов, изменение ключей реестра, загрузка DLL-библиотеки COM-объекта Internet Explorer, создание потоков в адресном пространстве иных процессов mitre_attck_defense_evasion: PT-CR-1368: Disable_Sysmon: Служба Sysmon изменена или отключена mitre_attck_discovery: PT-CR-2235: Always_Install_Elevated_Enable: Злоумышленники могут изменить ключ реестра, отвечающий за установку пакетов Windows Installer с системными привилегиями, с целью повысить привилегии mitre_attck_command_and_control: PT-CR-461: Port_Forwarding_Or_Tunneling: Обнаружена возможная попытка пробросить сетевой порт mitre_attck_execution: PT-CR-777: Hidden_Scheduled_Task: Обнаружено создание скрытой запланированной задачи или скрытное изменение уже существующей запланированной задачи без записи в журнал событий Windows. Создание задачи или ее изменение может выполняться непосредственно напрямую в реестре, без использования Планировщика заданий Windows mitre_attck_execution: PT-CR-778: Hidden_Service_Create: Обнаружено создание скрытой службы через реестр без использование функции CreateService mitre_attck_privilege_escalation: PT-CR-2461: UAC_Bypass_Via_Registry_Hijacking: Пользователь повысил привилегии с помощью одной из системных утилит, в манифесте которых прописано поднятие привилегий без запроса контроля учетных записей пользователей (UAC) (элемент "autoElevate"). Чтобы получить токен локального администратора с повышенными привилегиями (Integrity Level: High), злоумышленники создают в реестре ключ "DelegateExecute" и записывают полезную нагрузку в ту же ветку, в ключ "(Default)". После этого они запускают системную утилиту, которая обращается к этому ключу и всегда выполняется с повышенными привилегиями, что позволяет запустить ранее записанную полезную нагрузку с максимальными привилегиями. Для этих целей могут использоваться следующие системные утилиты: eventvwr.exe, fodhelper.exe, ComputerDefaults.exe, slui.exe и control.exe mitre_attck_privilege_escalation: PT-CR-2460: Registry_Modification_For_UAC_Bypass: Изменение реестра, которое может быть признаком попытки повысить привилегии. Чтобы получить токен локального администратора с повышенными привилегиями (Integrity Level: High), злоумышленники создают в реестре ключ "DelegateExecute" и записывают полезную нагрузку в ту же ветку, в ключ "(Default)". После этого они запускают системную утилиту, которая обращается к этому ключу и всегда выполняется с повышенными привилегиями, что позволяет запустить ранее записанную полезную нагрузку с максимальными привилегиями mitre_attck_persistence: PT-CR-2633: Network_Provider_Modification: Создание или регистрация нового поставщика сети путем изменения разделов реестра. Это может свидетельствовать о попытке злоумышленника закрепиться в системе с помощью DLL-библиотеки нового поставщика сети mitre_attck_persistence: PT-CR-261: GlobalFlags_In_Image_File_Execution_Options: Обнаружена попытка изменить ключ реестра "Image File Execution Options", чтобы встроить стороннее программное обеспечение в цепочку запуска mitre_attck_persistence: PT-CR-1345: Abusing_Windows_Telemetry_Persist: Закрепление путем изменения настроек компонента TelemetryController mitre_attck_persistence: PT-CR-666: Universal_Windows_Platform_Apps_Modify: Установлен ключ для UWP-приложения mitre_attck_persistence: PT-CR-963: Perf_Key_Modify: Изменено значение ключа реестра Perf mitre_attck_persistence: PT-CR-521: Debugger_In_Image_File_Execution_Options: Обнаружена попытка встроить стороннее программное обеспечение в цепочку запуска через "Debugger" mitre_attck_persistence: PT-CR-809: Hiding_Already_Existing_Task: Скрыто запланированное задание mitre_attck_persistence: PT-CR-1348: RID_Hijacking_Persistence: Закрепление путем перехвата RID учетной записи mitre_attck_persistence: PT-CR-2668: Outlook_Form_Creation: Создана пользовательская форма в клиенте Outlook. Это может быть действием злоумышленника с целью повысить привилегии или выполнить произвольный код mitre_attck_persistence: PT-CR-268: Windows_Accessibility_StickyKey_Modification: Обнаружена попытка изменить ключ реестра, отвечающий за запуск приложений специальных возможностей mitre_attck_persistence: PT-CR-1349: AppCert_DLLs_Persist: Закрепление путем изменения настроек компонента AppCertDLLs mitre_attck_persistence: PT-CR-2702: Outlook_Malicious_Actions: Изменение наиболее опасных параметров в клиенте Outlook путем редактирования разделов реестра. Злоумышленник может изменить параметры в Outlook, чтобы выполнить произвольный код, повысить привилегии или закрепиться в системе mitre_attck_persistence: PT-CR-2594: Hidden_Account_Creation: Создана скрытая учетная запись с правами администратора с использованием нового раздела реестра с информацией о пользователе. Событие не зарегистрировано в журнале событий Windows mitre_attck_persistence: PT-CR-2649: Outlook_Form_Exploitation: Приложение Outlook запустило подозрительный процесс после создания пользовательской формы в клиенте Outlook. Это может свидетельствовать о попытке злоумышленника закрепиться в системе или выполнить произвольный код mitre_attck_persistence: PT-CR-667: Userinitmprlogonscript_Modify: Процесс изменил значение параметра реестра mitre_attck_persistence: PT-CR-265: COM_Object_Persistence: Обнаружена попытка изменить ссылки и взаимодействия Component Object Model в реестре Microsoft Windows mitre_attck_persistence: PT-CR-662: Command_Processor_Autorun_Modify: Процесс изменил значение параметра ключа реестра интерпретатора командной строки (cmd.exe) mitre_attck_persistence: PT-CR-1346: Time_Providers_Persistence: Закрепление путем изменения настроек в разделе TimeProviders mitre_attck_persistence: PT-CR-267: Registry_Winlogon_Helper: Закрепление путем изменения настроек компонента Winlogon mitre_attck_persistence: PT-CR-664: Default_File_Association_Modify: Процесс изменил одну из веток реестра, отвечающих за определение приложения по умолчанию, которое используется, чтобы открывать файлы, имеющие определенное расширение в системе mitre_attck_persistence: PT-CR-2616: Windows_Startup_Folder_Modification: Изменена папка автозагрузки для одного пользователя или всех пользователей путем модификации раздела реестра. Злоумышленник может загрузить вредоносный файл в новую папку автозагрузки, чтобы закрепиться в системе и повысить свои привилегии mitre_attck_persistence: PT-CR-1997: EventViewer_Registry_Modify: Изменен ключ реестра, отвечающий за перенаправление на справку по компоненту "Просмотр событий". Атакующий может поместить в него путь к файлу, который будет выполняться при получении справки, для закрепления на целевой системе