О релизе №32

Мы постоянно работаем над расширением экспертизы и ее улучшением для R-Vision SIEM.

Кратко о релизе

  • Поддержали правилами нормализации новый источник РЕД АДМ (Система централизованного управления ИТ-инфраструктурой от РЕД ОС).

  • Доработали правило для Check Point Gaia в части поддержки событий в формате CEF.

  • Внесли исправления и улучшения в правила нормализации.

  • Разработали семь новых правил детектирования для Microsoft Windows, Linux, MS SQL, VMware vCenter и ESXi. В частности:

    • Покрыли новые техники MITRE ATT&CK скрытия артефактов Bind Mounts и Extended Attributes:

      • Extended Attributes — это метаданные, которые можно связать с файлами и директориями в файловых системах. Они позволяют пользователям хранить дополнительную информацию о файле, выходящую за рамки стандартных атрибутов, таких как размер файла, временные метки и разрешения. Ранее было замечено, что APT Lazarus использовала технику Extended Attributes для размещения полезной нагрузки в легитимных файлах.

      • Bind Mounts — это метод сокрытия артефактов, который позволяет атакующим скрывать свою активность от системных утилит, создавая ложное представление о выполняющихся процессах. Bind Mounts сопоставляет каталог или файл из одного места файловой системы в другое, аналогично ярлыкам в Windows.

    • Разработали правило детектирования одной из популярных утилит LaZagne, которая также была замечена в различных APT-атаках. Данная утилита предназначена для извлечения учетных данных из программного обеспечения на локальном компьютере.

  • Добавили проверку новых индикаторов компрометации ФСТЭК России от 26.06.2025 и 03.07.2025.

  • Перешли к использованию активного списка для правил, использовавших таблицу обогащения known_DC. Переход с таблицы обогащения на активные списки позволит упростить поддержание актуального списка известных контроллеров домена и обеспечит возможность добавления записей через интерактивный интерфейс. Для корректного перехода требуется перенести всю информацию из таблиц обогащения known_DC в активный лист known_dc, а также заполнить активный лист known_dc_ip известными IP-адресами контроллеров домена для корректной работы правил.

  • Провели рефакторинг правил детектирования для Microsoft Windows.

  • Внесли многие другие улучшения.

Правила нормализации

Новые правила

  • РЕД АДМ: добавлено правило нормализации.

Улучшения и исправления

  • Check Point: добавлена обработка событий в формате CEF.

  • Linux auth/secure: изменены поля .cat и .act события типа auth.

  • Linux Auditd: скорректировано заполнение поля outcome для нескольких событий.

  • VMware vCenter и ESXi: добавлена нормализация новых типов событий.

Правила детектирования

Новые правила

  • Microsoft Windows:

    • Эксплуатация утилиты LaZagne.

    • Эксфильтрация данных через finger.exe.

  • Linux:

    • Злоупотребление расширенными атрибутами.

    • Аномальное bind-монтирование.

  • MS SQL:

    • Выгрузка ключа шифрования или сертификата MS SQL.

  • VMware vCenter и ESXi:

    • Изменение меток времени через touch.

    • Маскировка через переименование/подмену index.html.

Улучшения и исправления

  • Общее:

    • Таблица IoC: добавлены новые индикаторы ФСТЭК России от 26.06.2025 и 03.07.2025.

  • Microsoft Windows:

    • Обнаружение HTML/SVG Smuggling в Windows: добавлено обнаружение SVG Smuggling.

    • Запуск подозрительного CAB-файла через msdt.exe: расширен фильтр.

    • Выполнение команд в системе от редактора кода VS Code: добавлены исключения.

    • Вход на устройство под разными учетными записями: перенесено в декларативный формат.

    • Удаленное выполнение команд с помощью SMBExec: переведено в декларативный формат.

    • Вход под несуществующим пользователем: проведена оптимизация правила.

    • Утечка NTLM через library-ms (CVE-2025-24071): таблицы обогащения заменены на активный список.

    • Атака DCShadow: таблицы обогащения заменены на активный список.

    • Вход на несколько узлов под одной учетной записью: таблицы обогащения заменены на активный список.

    • Изменение SPN учетной записи: таблицы обогащения заменены на активный список.

    • Компрометация через KrbRelayUp: таблицы обогащения заменены на активный список.

    • Использование хакерской утилиты Nishang: добавлены теги.

    • Обнаружение стеганографии в Windows: добавлены теги.

    • Сжатие дамп-файлов средствами 7Zip: рефакторинг правила.

    • Сжатие дамп-файлов средствами WinRAR: рефакторинг правила.

    • Использование Replace.exe: рефакторинг правила.

    • Получение информации о службе RDP через sc.exe: рефакторинг правила.

    • Попытка дампа процесса LSASS c помощью утилиты HandleKatz: рефакторинг правила.

    • Атака типа AS-REP Roasting: рефакторинг правила.

    • Захват учетных данных с помощью Rpcping.exe: рефакторинг правила.

    • Подозрительный снэпшот базы данных Active Directory средствами ADExplorer: рефакторинг правила.

    • Поиск процессов с уязвимыми модулями: рефакторинг правила.

    • Подозрительная DDL загружена средствами CertOC.exe: рефакторинг правила.

    • Скачивание файлов с IP-адреса через CertOC.exe: рефакторинг правила.

    • Установка root-сертификата средствами CertMgr.exe: рефакторинг правила.

    • Необычное выполнение приложений через AtBroker.exe: рефакторинг правила.

    • Скачивание файлов через IMEWDBLD.exe: рефакторинг правила.

    • Новый сертификат root был установлен средствами Certutil.exe: рефакторинг правила.

    • Дамп памяти процесса средствами Dotnet-Dump: рефакторинг правила.

    • Попытка дампа оперативной памяти с помощью RdrLeakDiag.exe: рефакторинг правила.

    • Скачивание файла средствами MpCmpRun.exe: рефакторинг правила.

    • Скачивание файлов через msedge_proxy.exe: рефакторинг правила.

    • Скачивание файлов через PresentationHost.exe: рефакторинг правила.

    • Скачивание файла средствами ProtocolHandler: рефакторинг правила.

    • Скачивание файлов через Squirrel.exe: рефакторинг правила.

    • Скачивание файлов средствами MS-AppInstaller: рефакторинг правила.

    • Подозрительное выполнение Regasm/Regsvcs с нестандартным расширением: рефакторинг правила.

    • Дамп памяти ядра через LiveKD: рефакторинг правила.

    • Закрепление через ключ реестра ReflectDebugger утилиты WerFault: рефакторинг правила.

    • Подозрительный агент обновления Windows: рефакторинг правила.

    • Выполнение Sysinternals PsSuspend: рефакторинг правила.

    • PowerShell инициировал сетевое подключение: рефакторинг правила.

    • Изменение пароля пользователя или хоста с помощью Ksetup.exe: рефакторинг правила.

    • Добавление потенциально подозрительного источника загрузки в Winget: рефакторинг правила.

    • Извлечение CAB-файлов через Wusa.exe: рефакторинг правила.

    • Создание Self Extracting Package в подозрительном месте: рефакторинг правила.

    • Экспорт структуры AD через csvde.exe: рефакториг правила.

    • Запуск файла из корзины: рефакторинг правила.

    • Изменение атрибутов групповой политики: рефакторинг правила.

  • Linux:

    • Злоупотребление сырыми сокетами: добавлены поля в корреляционное событие.

    • Чтение памяти процессов на Linux: добавлены теги.

    • Изменение TMP-файлов логирования Linux: добавлены поля в корреляционное событие.

    • Большое количество подозрительных команд: перенос в декларативный формат.

    • Загрузка файла с помощью утилит GTFOBins: добавлены поля в корреляционное событие.

  • KSC:

    • Перемещение устройства в группу администрирования на сервере KSC: корректировка корреляционной карточки.

  • VMware vCenter и ESXi:

    • Доступ к критичным файлам на сервере vCenter: добавлены теги техник MITRE ATT&CK для ESXi.

  • Cisco IOS:

    • Скорректировано заполнение поля data_source в связи со сменой формата.

  • Cisco ASA:

    • Скорректировано заполнение поля data_source в связи со сменой формата.

  • Secret Net Studio:

    • Скорректировано заполнение поля data_source в связи со сменой формата.

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies