MikroTik RouterOS: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила	Название правила	Описание	Тактики и техники
RV-D-1299	Атака Password Spraying в MikroTik	Данное правило направлено на обнаружение атак типа Password Spraying на интерфейсы управления MikroTik (Winbox, SSH), которые могут свидетельствовать о попытке атакующего получить доступ с использованием распространенных паролей для различных учетных записей. В отличие от классического брутфорса, такие атаки характеризуются небольшим количеством попыток входа на каждую учетную запись, но охватывают множество пользователей, что затрудняет их обнаружение стандартными средствами защиты. Успешная реализация этой техники позволяет атакующему получить контроль над маршрутизатором с минимальным риском блокировки учетной записи.	Credential Access (TA0006) Brute Force (T1110) Password Spraying (T1110.003)
RV-D-1301	Подбор пароля пользователя MikroTik	Данное правило направлено на выявление атак методом перебора пароля к интерфейсам управления MikroTik (Winbox, SSH), которые могут свидетельствовать о попытке атакующего подобрать учетные данные для несанкционированного доступа. Такие атаки характеризуются множественными неудачными попытками авторизации и являются аномальными для штатных операций администрирования. Эксплуатация этой атаки позволяет получить контроль над маршрутизатором, что открывает возможности для изменения сетевых настроек или перехвата трафика.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1304	Подключение к MikroTik с недоверенного IP	Правило предназначено для обнаружения потенциально несанкционированного доступа к устройствам MikroTik с использованием привилегированной учетной записи. Оно срабатывает при установлении соединения с IP-адреса, не входящего в список доверенных хостов, что может указывать на компрометацию учетных данных или попытку обхода политики безопасности.	Initial Access (TA0001) Valid Accounts (T1078) Default Accounts (T1078.001)
RV-D-1375	Изменение групп в MikroTik	Данное правило направлено на обнаружение несанкционированных изменений в составе критичных групп пользователей MikroTik, которые могут свидетельствовать о попытке атакующего повысить привилегии или ограничить доступ администраторов. Такие изменения являются аномальными для штатных операций администрирования и могут указывать на компрометацию учетных записей или злоупотребление легитимными правами. Эксплуатация этой техники позволяет атакующему получить полный контроль над сетевым оборудованием или заблокировать доступ легитимных администраторов.	Privilege Escalation (TA0004) Abuse Elevation Control Mechanism (T1548)
RV-D-1377	Изменение конфигураций фильтра в Mikrotik	Данное правило направлено на выявление несанкционированных изменений конфигураций фильтров MikroTik, которые могут свидетельствовать о попытке атакующего перехватить или заблокировать сетевой трафик. Подобные модификации правил фаервола или NAT являются аномальными для стандартных операций администрирования и могут указывать на компрометацию учетных записей либо эксплуатацию уязвимостей. Использование этой техники позволяет атакующему перенаправлять данные через подконтрольные серверы, нарушать доступ к ресурсам или скрытно внедряться в сетевую инфраструктуру.	Defense Evasion (TA0005) Impair Defenses (T1562) Disable or Modify System Firewall (T1562.004)

ID правила

Название правила

Описание

Тактики и техники

RV-D-1299

Атака Password Spraying в MikroTik

Данное правило направлено на обнаружение атак типа Password Spraying на интерфейсы управления MikroTik (Winbox, SSH), которые могут свидетельствовать о попытке атакующего получить доступ с использованием распространенных паролей для различных учетных записей. В отличие от классического брутфорса, такие атаки характеризуются небольшим количеством попыток входа на каждую учетную запись, но охватывают множество пользователей, что затрудняет их обнаружение стандартными средствами защиты. Успешная реализация этой техники позволяет атакующему получить контроль над маршрутизатором с минимальным риском блокировки учетной записи.

Credential Access (TA0006)
Brute Force (T1110)
Password Spraying (T1110.003)

RV-D-1301

Подбор пароля пользователя MikroTik

Данное правило направлено на выявление атак методом перебора пароля к интерфейсам управления MikroTik (Winbox, SSH), которые могут свидетельствовать о попытке атакующего подобрать учетные данные для несанкционированного доступа. Такие атаки характеризуются множественными неудачными попытками авторизации и являются аномальными для штатных операций администрирования. Эксплуатация этой атаки позволяет получить контроль над маршрутизатором, что открывает возможности для изменения сетевых настроек или перехвата трафика.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1304

Подключение к MikroTik с недоверенного IP

Правило предназначено для обнаружения потенциально несанкционированного доступа к устройствам MikroTik с использованием привилегированной учетной записи. Оно срабатывает при установлении соединения с IP-адреса, не входящего в список доверенных хостов, что может указывать на компрометацию учетных данных или попытку обхода политики безопасности.

Initial Access (TA0001)
Valid Accounts (T1078)
Default Accounts (T1078.001)

RV-D-1375

Изменение групп в MikroTik

Данное правило направлено на обнаружение несанкционированных изменений в составе критичных групп пользователей MikroTik, которые могут свидетельствовать о попытке атакующего повысить привилегии или ограничить доступ администраторов. Такие изменения являются аномальными для штатных операций администрирования и могут указывать на компрометацию учетных записей или злоупотребление легитимными правами. Эксплуатация этой техники позволяет атакующему получить полный контроль над сетевым оборудованием или заблокировать доступ легитимных администраторов.

Privilege Escalation (TA0004)
Abuse Elevation Control Mechanism (T1548)

RV-D-1377

Изменение конфигураций фильтра в Mikrotik

Данное правило направлено на выявление несанкционированных изменений конфигураций фильтров MikroTik, которые могут свидетельствовать о попытке атакующего перехватить или заблокировать сетевой трафик. Подобные модификации правил фаервола или NAT являются аномальными для стандартных операций администрирования и могут указывать на компрометацию учетных записей либо эксплуатацию уязвимостей. Использование этой техники позволяет атакующему перенаправлять данные через подконтрольные серверы, нарушать доступ к ресурсам или скрытно внедряться в сетевую инфраструктуру.

Defense Evasion (TA0005)
Impair Defenses (T1562)
Disable or Modify System Firewall (T1562.004)

Была ли полезна эта страница?