О релизе № 9 от 25.02.2026

Добавлено правило нормализации для FortiAnalyzer.

Добавлено правило нормализации для Check Point GAiA.

Добавлено правило нормализации для Nexus Repository.

Добавлено правило нормализации для Windows Task Scheduler.

Добавлено правило нормализации для ATHENA.

Добавлено правило нормализации для R-Vision TIP.

Добавлено правило нормализации для ЕЦУ Dallas Lock.

Добавлено правило нормализации для Сервера безопасности Dallas Lock.

MySQL: добавлена нормализация новых типов событий.

Использование средств виртуализации.

Потенциально вредоносное использование элементов панели управления.

Скачивание файлов через msedge_proxy.exe.

Изменение прав доступа к файлам.

Запуск процесса AddinUtil.exe из подозрительной директории.

Запуск произвольной DLL библиотеки средствами Msiexec.exe.

Создание нового процесса с помощью Taskmgr.exe.

Вызов функции DllUnregisterServer через Msiexec.exe.

Отключение логирования событий IIS.

Запуск замаскированного исполняемого файла через conhost.exe.

Запуск PowerShell окна в скрытом режиме.

Удалена глобальная группа с включенной безопасностью.

Генерация окна ввода пароля через Zenity.

Скачивание файлов с IP-адреса через CertOC.EXE.

Необычный аргумент или дочерний процесс Wlrmdr.exe.

Изменение пароля через утилиту mimikatz.

Кодирование в Base64 файла в подозрительном каталоге с помощью Certutil.

Скачивание файлов через Squirrel.exe.

Скачивание файлов через imewdbld.exe.

Изменение SID-History.

Отключение ETW провайдера Windows Defender.

Детектирование создания wmi подписки.

Подозрительный агент обновления Windows.

Скачивание файла средствами ProtocolHandler.

Запуск MSBuild для выполнения кода.

Компрометация через KrbRelayUp.

Экспорт структуры AD через csvde.exe.

Сброс пароля учетной записи через mimikatz.

Необычное выполнение приложений через AtBroker.exe.

Дамп памяти процесса средствами Dotnet-Dump.

Выполнение разведки удаленных систем.

Сбор структуры AD средствами Ldifde.

Атака Pass the Ticket.

Скачивание файлов через PresentationHost.exe.

Запуск файла из Корзины.

Использование устаревшей версии PowerShell v2.

Добавление расширения в браузер средством CLI.

Подозрительная DLL загружена средствами CertOC.exe.

Установка root сертификата средствами CertMgr.exe.

Закрепление в системе через Narrator.exe.

Отключение или модификация Windows Defender.

Изменение дескриптора безопасности в групповой политике.

Импорт ключа реестра из ADS.

Кодирование файла в Base64 с помощью Certutil.

Изменение политик Windows Defender Firewall.

SIP Hijacking Windows.

Запуск подозрительного cab файла через msdt.exe.

Скачивание файлов средствами MS-AppInstaller.

Атака Code Signing Windows.

Попытка дампа оперативной памяти с помощью RdrLeakDiag.exe.

Атака CS Policy Modification.

Отключение Privacy Settings Experience в реестре.

Изменение доверительных отношений между доменами.

Дамп памяти ядра через LiveKD.

Обнаружение стеганографии в Windows.

Изменение групп в MikroTik.

Генерация окна ввода пароля через Zenity.

Атака regreSSHion.

Загрузка webshell оболочки Linux.

Изменение библиотеки liblzma.

Повышение привилегий при помощи pkexec.

Множество неуспешных HTTP-запросов к OpenVPN AS.

Аномальный HTTP-запрос к webUI Access Server.

Подбор пароля в веб-консоль OpenVPN AS.

Подбор пароля клиента OpenVPN.

Подключение OpenVPN за пределами России.

Экспорт множества задач в Jira.

Использование хакерской утилиты OWA-Toolkit: скорректирован фильтр для исключения ложных срабатываний.

Использование вредоносных утилит: внесены корректировки в фильтр для снижения ложных срабатываний.

Эксплуатация Active Setup в реестре: изменен фильтр для снижения ложных срабатываний.

Ослабление защиты или мониторинга системы: исправлен фильтр событий eventid 4 для событий Sysmon.

Доступ к критичным файлам SSSD: добавлены исключения для системных процессов.

Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 06.02.2026—​16.02.2026.