О релизе № 4 от 02.12.2025

Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.3.0 и выше.

Кратко о релизе

  • Выпущен пакет правил нормализации и детектирования, совместимый с Универсальной моделью события 2.0.

  • Добавлена поддержка новых источников: Secret Net Studio, BindDNS, АйТи Бастион СКДПУ НТ, Check Point Harmony Endpoint, Microsoft Hyper-V.

  • Выпущены новые правила детектирования для Linux, Microsoft Windows и FreeIPA.

  • Добавлены новые индикаторы компрометации ФСТЭК России от 14.11.2025 и 27.11.2025.

Правила нормализации

Общее

  • Обнаружен индикатор компрометации: добавлены новые индикаторы компрометации ФСТЭК России от 14.11.2025 и 27.11.2025.

Новые источники

  • Secret Net Studio: добавлено правило нормализации.

  • BindDNS: добавлено правило нормализации.

  • АйТи Бастион СКДПУ НТ: добавлено правило нормализации.

  • Check Point Harmony Endpoint: добавлено правило нормализации.

  • Microsoft Hyper-V: добавлено правило нормализации.

Улучшения и исправления

  • OpenVPN: скорректирована нормализация события verify.

  • VMware ESXi/vCenter: доработана категоризация.

  • FreeIPA: доработана нормализация полей dst_object_type/value.

  • Microsoft Sysmon: исправлен маппинг полей для события EventID 22.

  • Гарда WAF: скорректирована категоризация событий.

Правила детектирования

Новые правила

  • Linux:

    • Создание интерактивной оболочки через GTFOBins.

    • Сетевое обращение от подозрительного скрипта в Linux.

    • Создан Reverse-shell сторонней утилитой в Linux.

    • Reverse-shell через Bash-сценарий.

    • Создание подозрительного Named Pipe с помощью Mkfifo.

    • Обнаружена команда Reverse/Bind Shell.

    • Создание файла через Python/Ruby сценарий.

    • Изменение timers на хосте Linux.

    • Использование утилиты at.

    • Повышение привилегий с помощью GTFOBins.

    • Повышение привилегий до root.

    • Модификация разрешений системных файлов в Linux.

    • Использование утилиты fusermount.

    • Внедрение процесса в другой через ptrace.

    • Создание/изменение правила nf_tables.

  • Microsoft Windows:

    • Регистрация вредоносного Password Filter.

    • Удаленная эксплуатация DCOM-объекта ShellWindows.

    • Удаленная эксплуатация DCOM-объекта Excel.Application.

    • Чтение процесса LSASS от подозрительного процесса.

    • Добавление файла в директорию расширения браузера.

    • Очистка истории команд PowerShell в Windows.

    • Закрепление в директории автозагрузки.

    • Закрепление в Print Processors через подозрительную dll.

    • Изменение запланированной задачи в групповой политике.

    • Поиск учетных данных в групповых политиках.

    • Доступ к чувствительному сетевому диску Windows.

    • Закрепление через ключ ReflectDebugger утилиты WerFault.

    • Изменение критичных параметров сервиса.

    • Удаленный запуск процесса с помощью DCOM-объекта MMC20.Application.

    • Закрепление в системе через создание/изменение пакетов.

    • Эксплуатация Active Setup в реестре.

    • Эксплуатация сценариев входа в систему.

    • Изменение пути к исполняемому файлу в сервисе.

  • FreeIPA:

    • Успешный подбор пароля пользователя по LDAP в FreeIPA.

    • Подбор пароля пользователя по LDAP в FreeIPA.

    • Обнаружение атаки Password Spraying на FreeIPA.

    • Успешный подбор пароля от FreeIPA Web UI.

    • Подбор пароля от FreeIPA Web UI.

Улучшения и исправления

  • Linux:

    • Закрепление при помощи утилиты Trap: доработана обработка строк через регулярное выражение для снижения FP.

  • Microsoft Windows:

    • Использование средств туннелирования трафика: исправлена ошибка в регулярном выражении.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь