О релизе №31

Кратко о релизе

  • Добавили проверку новых индикаторов компрометации ФСТЭК России от 11.06.2025 и 19.06.2025.

  • Перенесли часть правил детектирования из императивного в декларативный формат.

  • Провели корректировку правил детектирования для снижения ложноположительных срабатываний и поддержания работоспособности правил в условиях изменившейся нормализации.

  • Проведен рефакторинг правил детектирования на основе Sysmon-журнала.

Правила нормализации

Новые правила

  • Kaspersky EDR: добавлено правило нормализации.

  • macOS R-Point: покрыта нормализация событий нового агента R-Vision EVO для macOS.

Улучшения и исправления

  • Linux Auditd: исправлено поле outcome.

Правила детектирования

Улучшения и исправления

  • Общее:

    • Таблица IoC: добавлены новые индикаторы ФСТЭК РОССИИ от 11.06.2025 и 19.06.2025.

  • Microsoft Windows:

    • Подозрительная модификация ключей реестра COM/WMI: расширен фильтр.

    • Несистемный процесс повысил привилегии до системных (CreateProcessWithToken): правило перенесено в декларативный формат.

    • Вход с разных хостов на один хост под одной учетной записью: правило перенесено в декларативный формат, предусмотрен список исключений.

    • Удаленный запуск процесса с помощью WMI: правило перенесено в декларативный формат.

    • Создание и удаление учетной записи в течении одной минуты: правило перенесено в декларативный формат.

    • Множественные неудачные попытки аутентификации учетной записи: правило перенесено в декларативный формат.

    • Атака Password Spraying: правило перенесено в декларативный формат.

    • Обход UAC с помощью реестра: усовершенствована логика правила.

    • Создание сетевого подключения процессом Winlogon: рефакторинг правила.

    • Подозрительный доступ к памяти процесса LSASS: рефакторинг правила.

    • Кража токена через именованные каналы: рефакторинг правила.

    • Кража токена доступа из системного процесса: рефакторинг правила.

    • Дамп LSASS с помощью Python-утилит: рефакторинг правила.

    • Создание токена и имперсонация учетной записи: скорректирован фильтр.

    • Запуск множества подозрительных команд: скорректирован фильтр.

    • Использование утилиты Smbtakeover: корректировка под изменения в нормализации.

    • Отключение ETW провайдера PowerShell: скорректирован фильтр.

    • Изменения в планировщике задач: замена таблицы обогащения на активный список.

    • Зафиксирована подгрузка подозрительного пакета процессом LSA: скорректирован фильтр.

    • Удаление временных RDP файлов в Windows: скорректирован фильтр.

    • Отключение или модификация Windows Defender: корректировка в соответствии с измененной нормализацией.

    • Отключение ETW провайдера Windows Defender: корректировка в соответствии с измененной нормализацией.

    • Ослабление защиты или мониторинга системы: корректировка в соответствии с измененной нормализацией.

    • Зафиксировано изучение общих сетевых ресурсов: корректировка в соответствии с измененной нормализацией.

    • Подключение к SMB папке по протоколу QUIC: корректировка в соответствии с измененной нормализацией.

    • Отключение службы Windows EventLog: корректировка в соответствии с измененной нормализацией.

    • Перечисление ключей реестра для разведки: корректировка в соответствии с измененной нормализацией.

    • Изучение конфигурации локальной системы: корректировка в соответствии с измененной нормализацией.

    • Получение учетных данных из реестра: корректировка в соответствии с измененной нормализацией.

    • Очистка истории команда PowerShell в Windows: корректировка в соответствии с измененной нормализацией.

    • Изменение политик Windows Defender Firewall: корректировка в соответствии с измененной нормализацией.

    • Отключение ETW провайдера .NET: корректировка в соответствии с измененной нормализацией.

    • Отключение логирования событий IIS: корректировка в соответствии с измененной нормализацией.

    • Запуск PowerShell окна в скрытом режиме: корректировка в соответствии с измененной нормализацией.

    • Сбор информации о сетевых подключениях: корректировка в соответствии с измененной нормализацией.

    • Зафиксировано изучение системного времени: корректировка в соответствии с измененной нормализацией.

    • Использование вредоносных утилит: корректировка в соответствии с измененной нормализацией.

    • Уничтожение информации на диске в Windows: корректировка в соответствии с измененной нормализацией.

    • Зафиксировано добавление исполняемого файла к профилю PowerShell: корректировка в соответствии с измененной нормализацией.

  • Linux:

    • Изменение задач cron: добавлено исключение пакетных менеджеров.

    • Изменение критичных файлов Linux: добавлена проверка процесса для уменьшения ложноположительных сработок.

    • Изменение критичных файлов конфигурации интерактивной оболочки: рефакторинг правила.

  • OpenVPN:

    • Множество неуспешных HTTP-запросов к OpenVPN AS: исправлена обработка ошибок.

    • Аномальный HTTP-запрос к webUI Access Server: исправлена обработка ошибок.

  • Kaspersky Secure Mail Gateway:

    • Получение спам-письма: скорректированы техники.

    • Вредоносная ссылка в письме: скорректированы техники.

    • Получение массовой рассылки писем: скорректированы техники.

    • Вредоносное вложение в письме: скорректированы техники.

    • Проверка подлинности отправителя сообщений: скорректированы техники.

    • Шифрованное вложение в письме: скорректированы техники.

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies