Экспертиза MaxPatrol SIEM

netflow: PT-CR-2938: Netflow_NTP_Timeroasing: Сетевой узел отправил множество NTP-запросов на контроллер домена, что может быть признаком атаки Timeroasting pt_nad: PT-CR-2417: NAD_NTLM_To_External: PT NAD обнаружил отправку хеша Net-NTLM в интернет mitre_attck_cred_access: PT-CR-913: Subrule_Coerce_Auth: Обнаружена возможная принудительная аутентификация (Coerce-атака) mitre_attck_cred_access: PT-CR-2348: SCF_Or_URL_Forced_Authentication: Возможная принудительная аутентификация пользователя с помощью файлов с расширением .scf или .url. Такая аутентификация позволяет злоумышленникам получить NTLM-хеши паролей пользователей, которые откроют общий сетевой ресурс с этими файлами с помощью Проводника Windows. Злоумышленники могут использовать полученные хеши для таких атак, как Pass-the-Hash, либо подобрать пароли в открытом виде и использовать их для доступа к другим системам mitre_attck_cred_access: PT-CR-2349: SCF_Or_URL_File_Created: Возможная принудительная аутентификация пользователей с помощью файлов с расширением .scf или .url. Такая аутентификация позволяет злоумышленникам получить NTLM-хеши паролей пользователей, которые откроют локальную папку или общий сетевой ресурс с этими файлами с помощью Проводника Windows. Злоумышленники могут использовать полученные хеши для таких атак, как Pass-the-Hash, либо подобрать пароли в открытом виде и использовать их для доступа к другим системам mitre_attck_cred_access: PT-CR-1075: Dangerous_Theme: Установлена потенциально вредоносная тема Windows, которая используется для кражи имен пользователей и хешей паролей mitre_attck_cred_access: PT-CR-1204: Coerce_Auth: NTLM-хеш учетной записи компьютера перехвачен в результате принудительной аутентификации (Coerce-атаки) mitre_attck_cred_access: PT-CR-914: Subrule_Egress_System: Обнаружено подключение к атакующему узлу, что может быть признаком принудительной аутентификации (Coerce-атаки) mitre_attck_lateral_movement: PT-CR-2768: MSSQL_NTLM_Relay: Возможная атака NTLM Relay с использованием клиента MS SQL. Имея доступ к учетной записи с низкими привилегиями, злоумышленники могут совершить атаку NTLM Relay, подключившись к клиенту MS SQL и выполнив хранимые процедуры, в параметрах которых задан UNC-путь к узлу атакующего mitre_attck_lateral_movement: PT-CR-784: Auth_Coerce_With_WebClient_Abuse: Обнаружено использование техник PetitPotam или PrinterBug, реализуемых с помощью службы WebClient, для принудительной авторизации на атакующем узле по протоколу HTTP (порт 80) mitre_attck_lateral_movement: PT-CR-2766: Subrule_MSSQL_NTLM_Relay: Выполнена хранимая процедура с удаленного клиента MS SQL vulnerabilities: PT-CR-2948: Subrule_CVE_2025_24071_NTLM_Hash_Leak: Процесс архиватора или Проводник Windows создал файл с расширением .library-ms vulnerabilities: PT-CR-2297: CVE_2024_21413_Outlook_MonikerLink: Эксплуатация уязвимости CVE-2024-21413 в Outlook. Уязвимость позволяет злоумышленнику отправить жертве письмо с гиперссылкой на общий сетевой ресурс и обойти предупреждение Outlook при открытии письма. Это может быть использовано, чтобы выполнить произвольный код или получить NetNTLM-хеш пользователя vulnerabilities: PT-CR-2949: CVE_2025_24071_NTLM_Hash_Leak: Возможная эксплуатация уязвимости CVE-2025-24071 в Проводнике Windows. Из архива извлечен файл с расширением .library-ms, что может привести к передаче хеша пароля пользователя на сервер злоумышленника active_directory_certificate_services_attacks: PT-CR-2225: ADCS_CRL_Abusing: Подозрительная активность с использованием списка отозванных сертификатов (CRL). Используя доступ к CRL, злоумышленник может вынудить сервер центра сертификации пройти аутентификацию на удаленном сервере или получить возможность удаленного выполнения кода на сервере центра сертификации. Для работы правила необходимо заполнить табличный список "CRL_Publication_Time" active_directory_certificate_services_attacks: PT-CR-2226: ADCS_Certify_Coerce: NTLM-хеш или TGT учетной записи сервера центра сертификации перехвачен в результате принудительной аутентификации (coerce-атаки). Это может привести к компрометации сервера центра сертификации и развитию атаки active_directory_attacks: PT-CR-837: KrbRelay_Usage: Возможное использование утилит KrbRelay или DavRelayUp, позволяющих использовать отсутствие подписи запросов LDAP для ретрансляции процесса аутентификации и получения TGS-билета для SPN учетной записи от имени администратора. После этого злоумышленник может повысить свои привилегии до локального администратора и выполнить вредоносный код на скомпрометированном узле active_directory_attacks: PT-CR-2542: RemoteKrbRelay_Usage: Пользователь, не являющийся инициатором подключения, прошел аутентификацию Kerberos. Это может быть признаком использования утилиты RemoteKrbRelay, которая позволяет удаленно провоцировать и ретранслировать Kerberos-аутентификацию с целью получить доступ к какой-либо службе с уровнем привилегий целевой учетной записи, используя техники CertifiedDCOM и SilverPotato active_directory_attacks: PT-CR-654: SAM_Account_Name_Spoofing: Пользователь изменил SamAccountName объекта AD на несвойственное (наличие или отсутствие символа "$" в конце имени не соответствует типу объекта) или запросил TGT-билет от имени учетной записи, совпадающей с именем контроллера домена. Это может быть признаком атаки SamAccountName Spoofing, реализация которой позволит злоумышленникам повысить привилегии или провести атаку Targeted Timeroasting mitre_attck_privilege_escalation: PT-CR-2500: SilverPotato_PrivEsc: Повышение привилегий с помощью техники SilverPotato. Эта техника позволяет пользователям, входящим в группу "Distributed COM Users" или "Performance Log Users", удаленно взаимодействовать с приложением в контексте интерактивного пользователя и спровоцировать аутентификацию, которая в дальнейшем ретранслируется на целевой узел