О релизе №27 от 14.05.2025

Мы постоянно работаем над расширением и улучшением экспертизы для R-Vision SIEM.

Кратко о релизе

  • В рамках данного релиза были внесены изменения в правила нормализации для обеспечения совместимости пака с R-Vision SIEM версии 2.3.0. Обновления включают исправление типов данных и глобальных функций, а также улучшение и исправление правил для ранее поддержанных источников.

  • Разработали 31 новое правило детектирования для Microsoft Windows, Oracle DB, MS SQL, BIND, Garda WAF и VMware vCenter и ESXi. В частности:

    • покрыли использование утилиты для создания туннелей из интернета в локальную сеть LocaltoNet. Данная утилита активно используется атакующими. Например, APT Morlock компрометировали IT-подрядчиков для последующего проникновения к жертве, используя LocaltoNet в качестве закрепления.

    • покрыли уязвимость CVE-2025-24071, которая связана с механизмом обработки файлов в Windows Explorer. Это позволяет получить хэш NTLMv2 учетной записи в результате некорректной обработки файлов .library-ms.

    • реализовали новые правила для детектирования злоупотребления ssh.exe, например, создания туннелей, кражи NTLM-хэша, выполнения команд без явного подключения к удаленному серверу. Известно, что группировка ToddyCat использовала ssh.exe в качестве инструмента для туннелирования трафика.

Правила нормализации

Улучшения и исправления

  • UserGate: исправлена нормализация событий NAT.

  • MikroTik: добавлена поддержка новых типов событий.

  • Garda WAF: исправлено значение поля outcome для события блокировки пользователя.

  • Passbolt: убраны отладочные поля test, добавлено приведение к типу.

  • Linux Auth: обновлена обработка событий ошибок.

  • Глобальные функции: исправлена проблема совместимости с SIEM 2.3.0.

  • Atlassian Jira: обновлены правила нормализации для совместимости с SIEM 2.3.0.

  • Windows Security: обновлены правила нормализации для совместимости с SIEM 2.3.0.

  • Linux Audit: обновлены правила нормализации для совместимости с SIEM 2.3.0.

  • Linux Rpoint: исправлен путь журналов для совместимости с новым агентом.

Правила детектирования

Новые правила

  • Microsoft Windows:

    • Запуск ssh.exe с подозрительными параметрами.

    • Создание обратного туннеля через ssh.exe.

    • Использование ssh.exe для кражи NTLM-хэша.

    • Подозрительные DNS-запросы к LocaltoNet домену.

    • Обход UAC через COM-объекты.

    • Обнаружение эксплуатации DDE через Office.

    • Изменение доверительных отношений между доменами.

    • Прямой доступ к диску через PowerShell.

    • Сжатие файлов средствами PowerShell.

    • Использование средств виртуализации.

    • Утечка NTLM через library-ms (CVE-2025-24071).

  • Oracle DB:

    • Поиск информации о конфигурации OracleDB.

    • Поиск информации о структуре в OracleDB.

    • Вход привилегированного пользователя в СУБД Oracle.

    • Успешный подбор пароля к СУБД Oracle.

    • Получение информации о пользователях СУБД Oracle.

    • Манипуляция с учетными данными СУБД Oracle.

    • Подбор пароля к СУБД Oracle.

    • Атака Password Spraying на OracleDB.

    • Экспорт базы данных Oracle.

  • MS SQL:

    • Попытка подключения к CУБД через DAC.

    • Попытка получить состояние службы Windows.

    • Попытка изменить состояние службы Windows.

    • Запись ключа реестра средствами MS SQL.

    • Чтение ключа реестра средствами MS SQL.

    • Отправка результатов SQL-запроса почтой.

    • Использование процедур для локального выполнения кода.

  • BIND:

    • Обнаружение DNS-запроса к домену LocaltoNet.

  • Garda WAF:

    • Массовое удаление УЗ Garda WAF.

    • Изменение настроек защиты подключенного сервера.

  • VMware vCenter и ESXi:

    • Использование chmod в ESXi через CLI.

Улучшения и исправления

  • Linux:

    • Размещение архивов в сетевой папке Linux: обновлено поле data_source, скорректирован фильтр.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение