, տեղեկատվական անվտանգության միջադեպերի մեծ մասը (87%) տեղի է ունենում հաշված րոպեների ընթացքում, իսկ ընկերությունների 68%-ի համար ամիսներ են պահանջվում դրանք հայտնաբերելու համար։ Սա հաստատում է , ըստ որի՝ կազմակերպություններից շատերից պահանջվում է միջինը 206 օր՝ միջադեպը բացահայտելու համար։ Հիմնվելով մեր հետաքննության փորձի վրա՝ հաքերները կարող են տարիներ շարունակ վերահսկել ընկերության ենթակառուցվածքը՝ առանց հայտնաբերման: Այսպիսով, կազմակերպություններից մեկում, որտեղ մեր փորձագետները հետաքննել են տեղեկատվական անվտանգության միջադեպը, պարզվել է, որ հաքերներն ամբողջությամբ վերահսկել են կազմակերպության ողջ ենթակառուցվածքը և պարբերաբար գողացել կարևոր տեղեկատվություն։ .
Ենթադրենք, դուք արդեն ունեք գործարկվող SIEM, որը հավաքում է տեղեկամատյանները և վերլուծում իրադարձությունները, իսկ վերջին հանգույցներում տեղադրված է հակավիրուսային ծրագիր: Այնուամենայնիվ, , ճիշտ այնպես, ինչպես անհնար է EDR համակարգեր ներդնել ողջ ցանցում, ինչը նշանակում է, որ «կույր» կետերից հնարավոր չէ խուսափել: Ցանցային տրաֆիկի վերլուծության (NTA) համակարգերն օգնում են հաղթահարել դրանք: Այս լուծումները հայտնաբերում են հարձակվողի ակտիվությունը ցանցի ներթափանցման ամենավաղ փուլերում, ինչպես նաև ցանցում հենակետ գրավելու և հարձակում զարգացնելու փորձերի ժամանակ:
Կան երկու տեսակի NTA-ներ. ոմանք աշխատում են NetFlow-ի հետ, մյուսները վերլուծում են չմշակված տրաֆիկը: Երկրորդ համակարգերի առավելությունն այն է, որ նրանք կարող են պահպանել չմշակված երթևեկության գրառումները: Դրա շնորհիվ տեղեկատվական անվտանգության մասնագետը կարող է ստուգել հարձակման հաջողությունը, տեղայնացնել սպառնալիքը, հասկանալ, թե ինչպես է տեղի ունեցել հարձակումը և ինչպես կանխել նմանատիպը ապագայում։
Մենք ցույց կտանք, թե ինչպես օգտագործելով NTA-ն կարող եք օգտագործել ուղղակի կամ անուղղակի ապացույցներ՝ բացահայտելու բոլոր հայտնի հարձակման մարտավարությունները, որոնք նկարագրված են գիտելիքների բազայում: . Մենք կխոսենք 12 մարտավարություններից յուրաքանչյուրի մասին, կվերլուծենք այն տեխնիկաները, որոնք հայտնաբերվում են երթևեկության միջոցով և ցույց կտանք դրանց հայտնաբերումը մեր NTA համակարգի միջոցով:
ATT&CK գիտելիքների բազայի մասին
MITER ATT&CK-ը հանրային գիտելիքների բազա է, որը մշակվել և պահպանվում է MITER կորպորացիայի կողմից՝ հիմնված իրական կյանքի APT-ների վերլուծության վրա: Դա հարձակվողների կողմից օգտագործվող մարտավարությունների և տեխնիկայի կառուցվածքային շարք է: Սա թույլ է տալիս տեղեկատվական անվտանգության մասնագետներին ամբողջ աշխարհից խոսել նույն լեզվով: Տվյալների բազան անընդհատ ընդլայնվում և համալրվում է նոր գիտելիքներով։
Տվյալների բազան առանձնացնում է 12 մարտավարություն, որոնք բաժանված են կիբերհարձակման փուլերով.
- նախնական մուտք;
- կատարում;
- համախմբում (համառություն);
- արտոնությունների մեծացում;
- հայտնաբերման կանխարգելում (պաշտպանությունից խուսափում);
- հավատարմագրերի ստացում (հավատարմագրային մուտք);
- հետախուզում;
- շարժում պարագծի ներսում (կողային շարժում);
- տվյալների հավաքագրում (հավաքագրում);
- ղեկավարում և վերահսկում;
- տվյալների արտազատում;
- ազդեցություն.
Յուրաքանչյուր մարտավարության համար ATT&CK գիտելիքների բազան թվարկում է տեխնիկաների ցանկ, որոնք օգնում են հարձակվողներին հասնել իրենց նպատակին հարձակման ներկա փուլում: Քանի որ նույն տեխնիկան կարող է օգտագործվել տարբեր փուլերում, այն կարող է վերաբերել մի քանի մարտավարության:
Յուրաքանչյուր տեխնիկայի նկարագրությունը ներառում է.
- նույնացուցիչ;
- մարտավարությունների ցանկ, որոնցում այն օգտագործվում է.
- APT խմբերի օգտագործման օրինակներ;
- միջոցներ՝ դրա օգտագործման վնասը նվազեցնելու համար.
- հայտնաբերման առաջարկություններ.
Տեղեկատվական անվտանգության մասնագետները կարող են օգտագործել տվյալների բազայից ստացված գիտելիքները՝ հարձակման ընթացիկ մեթոդների մասին տեղեկատվության կառուցվածքի համար և, հաշվի առնելով դա, ստեղծել արդյունավետ անվտանգության համակարգ: Հասկանալը, թե ինչպես են գործում իրական APT խմբերը, կարող է նաև դառնալ վարկածների աղբյուր՝ ներսում սպառնալիքների ակտիվ որոնման համար: .
PT Network Attack Discovery-ի մասին
Մենք կբացահայտենք տեխնիկայի օգտագործումը ATT&CK մատրիցից՝ օգտագործելով համակարգը — Positive Technologies NTA համակարգ, որը նախատեսված է ցանցի պարագծի և ներսում հարձակումները հայտնաբերելու համար: PT NAD-ը տարբեր աստիճաններով ընդգրկում է MITER ATT&CK մատրիցայի բոլոր 12 մարտավարությունները: Նա ամենահզորն է սկզբնական մուտքի, կողային շարժման և կառավարելու և վերահսկելու տեխնիկան բացահայտելու գործում: Դրանցում PT NAD-ն ընդգրկում է հայտնի տեխնիկայի կեսից ավելին՝ հայտնաբերելով դրանց կիրառումը ուղղակի կամ անուղղակի նշաններով:
Համակարգը հայտնաբերում է հարձակումները՝ օգտագործելով ATT&CK տեխնիկան՝ օգտագործելով թիմի կողմից ստեղծված հայտնաբերման կանոնները (PT ESC), մեքենայական ուսուցում, փոխզիջման ցուցիչներ, խորը վերլուծություն և հետահայաց վերլուծություն: Իրական ժամանակի երթևեկության վերլուծությունը, որը զուգորդվում է հետահայաց հետ, թույլ է տալիս բացահայտել ընթացիկ թաքնված վնասակար գործունեությունը և հետևել զարգացման վեկտորներին և հարձակումների ժամանակագրությանը:
PT NAD-ի ամբողջական քարտեզագրում MITER ATT&CK մատրիցին: Նկարը մեծ է, ուստի առաջարկում ենք դիտել այն առանձին պատուհանով։
Նախնական մուտք
Մուտքի սկզբնական մարտավարությունը ներառում է ընկերության ցանց ներթափանցելու տեխնիկա: Հարձակվողների նպատակն այս փուլում չարամիտ կոդ փոխանցելն է հարձակման ենթարկված համակարգին և ապահովել դրա հետագա կատարման հնարավորությունը։
PT NAD-ի կողմից տրաֆիկի վերլուծությունը բացահայտում է նախնական մուտք ստանալու յոթ տեխնիկա.
1. փոխզիջում
Տեխնիկա, որի ժամանակ տուժողը բացում է վեբկայք, որն օգտագործվում է հարձակվողների կողմից՝ վեբ բրաուզերը շահագործելու և հավելվածի հասանելիության նշաններ ստանալու համար:
Ի՞նչ է անում PT NAD-ը:Եթե վեբ տրաֆիկը գաղտնագրված չէ, PT NAD-ը ստուգում է HTTP սերվերի պատասխանների բովանդակությունը: Այս պատասխանները պարունակում են շահագործումներ, որոնք թույլ են տալիս հարձակվողներին կատարել կամայական կոդ բրաուզերի ներսում: PT NAD-ը ավտոմատ կերպով հայտնաբերում է նման շահագործումները՝ օգտագործելով հայտնաբերման կանոնները:
Բացի այդ, PT NAD-ը հայտնաբերում է սպառնալիքը նախորդ քայլում: Փոխզիջման կանոններն ու ցուցիչները գործարկվում են, եթե օգտատերը այցելում է կայք, որը նրան վերահղել է մի շարք շահագործումներով կայք:
2. : շահագործել հանրային երեսպատման հավելվածը
Ինտերնետից հասանելի ծառայությունների խոցելիության շահագործում:
Ի՞նչ է անում PT NAD-ը:Կատարում է ցանցային փաթեթների բովանդակության խորը ստուգում` հայտնաբերելով անոմալ գործունեության նշաններ: Մասնավորապես, կան կանոններ, որոնք թույլ են տալիս հայտնաբերել հարձակումներ հիմնական բովանդակության կառավարման համակարգերի (CMS), ցանցային սարքավորումների վեբ ինտերֆեյսների և փոստի և FTP սերվերների վրա հարձակումներ:
3. Արտաքին հեռահար ծառայություններ
Հարձակվողներն օգտագործում են հեռահար մուտքի ծառայություններ դրսից ներքին ցանցի ռեսուրսներին միանալու համար:
Ի՞նչ է անում PT NAD-ը:Քանի որ համակարգը ճանաչում է արձանագրությունները ոչ թե նավահանգիստների համարներով, այլ փաթեթների բովանդակությամբ, համակարգի օգտվողները կարող են զտել տրաֆիկը` գտնելու հեռահար մուտքի արձանագրությունների բոլոր նիստերը և ստուգելու դրանց օրինականությունը:
4. նիզակային կցորդ
Խոսքը ֆիշինգ հավելվածների տխրահռչակ ուղարկման մասին է։
Ի՞նչ է անում PT NAD-ը:Ավտոմատ կերպով հանում է ֆայլերը տրաֆիկից և ստուգում դրանք փոխզիջման ցուցիչների համեմատ: Հավելվածներում գործարկվող ֆայլերը հայտնաբերվում են կանոններով, որոնք վերլուծում են փոստի տրաֆիկի բովանդակությունը: Կորպորատիվ միջավայրում նման ներդրումը համարվում է անոմալ։
5. : նիզակային հղում
Օգտագործելով ֆիշինգի հղումներ: Տեխնիկան ներառում է հարձակվողների ուղարկում ֆիշինգի էլ. Որպես կանոն, հղումը ուղեկցվում է սոցիալական ինժեներիայի բոլոր կանոններին համապատասխան կազմված տեքստով։
Ի՞նչ է անում PT NAD-ը:Հայտնաբերում է ֆիշինգի հղումները՝ օգտագործելով փոխզիջման ցուցիչները: Օրինակ, PT NAD ինտերֆեյսում մենք տեսնում ենք մի նիստ, որտեղ կար HTTP կապ՝ ֆիշինգ հասցեների ցանկում ներառված հղման միջոցով (ֆիշինգ-urls):
Միացում հղման միջոցով փոխզիջումային ֆիշինգ-url-ների ցուցիչների ցանկից
6. : վստահելի հարաբերություններ
Տուժողի ցանց մուտք գործել երրորդ անձանց միջոցով, որոնց հետ տուժողը վստահելի հարաբերություններ է հաստատել: Հարձակվողները կարող են կոտրել վստահելի կազմակերպությանը և դրա միջոցով միանալ թիրախային ցանցին: Դա անելու համար նրանք օգտագործում են VPN կապեր կամ դոմեյն տրեստներ, որոնք կարելի է նույնականացնել տրաֆիկի վերլուծության միջոցով։
Ի՞նչ է անում PT NAD-ը:վերլուծում է հավելվածի արձանագրությունները և պահպանում է վերլուծված դաշտերը տվյալների բազայում, որպեսզի տեղեկատվական անվտանգության վերլուծաբանը կարողանա զտիչներ օգտագործել տվյալների բազայում բոլոր կասկածելի VPN կապերը կամ միջդոմենային կապերը գտնելու համար:
7. : վավեր հաշիվներ
Օգտագործելով ստանդարտ, տեղական կամ տիրույթի հավատարմագրերը արտաքին և ներքին ծառայությունների թույլտվության համար:
Ի՞նչ է անում PT NAD-ը:Ավտոմատ կերպով առբերում է հավատարմագրերը HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos արձանագրություններից: Ընդհանուր առմամբ, սա մուտք, գաղտնաբառ և հաջող վավերացման նշան է: Եթե դրանք օգտագործվել են, ապա դրանք ցուցադրվում են համապատասխան նստաշրջանի քարտում:
Կատարում
Կատարման մարտավարությունը ներառում է մեթոդներ, որոնք հարձակվողները օգտագործում են վտանգված համակարգերում ծածկագիրը գործարկելու համար: Վնասակար կոդի գործարկումն օգնում է հարձակվողներին հաստատել ներկայություն (հաստատակամության մարտավարություն) և ընդլայնել մուտքը ցանցի հեռավոր համակարգեր՝ շարժվելով պարագծի ներսում:
PT NAD-ը թույլ է տալիս հայտնաբերել 14 տեխնիկայի օգտագործումը, որոնք օգտագործվում են հարձակվողների կողմից՝ վնասակար կոդ գործարկելու համար:
1. CMSTP (Microsoft Connection Manager պրոֆիլի տեղադրող)
Մարտավարություն, որի ժամանակ հարձակվողները պատրաստում են հատուկ վնասակար տեղադրման INF ֆայլ ներկառուցված Windows կոմունալ CMSTP.exe-ի համար (Connection Manager Profile Installer): CMSTP.exe-ն վերցնում է ֆայլը որպես պարամետր և տեղադրում է ծառայության պրոֆիլը հեռավոր կապի համար: Արդյունքում, CMSTP.exe-ը կարող է օգտագործվել հեռավոր սերվերներից դինամիկ հղումների գրադարաններ (*.dll) կամ սկրիպտներ (*.sct) բեռնելու և գործարկելու համար:
Ի՞նչ է անում PT NAD-ը:Ավտոմատ կերպով հայտնաբերում է INF ֆայլերի հատուկ տեսակների փոխանցումը HTTP տրաֆիկում: Ի հավելումն դրան, այն հայտնաբերում է վնասակար սկրիպտների և դինամիկ հղումների գրադարանների HTTP փոխանցումը հեռավոր սերվերից:
2. : հրամանի տողի ինտերֆեյս
Փոխազդեցություն հրամանի տողի ինտերֆեյսի հետ: Հրամանի տողի միջերեսը կարող է փոխազդել տեղական կամ հեռակա կարգով, օրինակ՝ օգտագործելով հեռահար մուտքի կոմունալ ծառայություններ:
Ի՞նչ է անում PT NAD-ը:Ավտոմատ կերպով հայտնաբերում է կեղևների առկայությունը՝ հիմնվելով հրամանների պատասխանների վրա՝ գործարկելու հրամանի տողի տարբեր կոմունալ ծառայություններ, ինչպիսիք են ping, ifconfig:
3. բաղադրիչ օբյեկտի մոդել և բաշխված COM
COM կամ DCOM տեխնոլոգիաների օգտագործումը տեղական կամ հեռավոր համակարգերում կոդը գործարկելու համար ցանցով շարժվելիս:
Ի՞նչ է անում PT NAD-ը:Հայտնաբերում է կասկածելի DCOM զանգեր, որոնք հարձակվողները սովորաբար օգտագործում են ծրագրեր գործարկելու համար:
4. : շահագործում հաճախորդի կատարման համար
Խոցելիության շահագործում կամայական կոդ աշխատանքային կայանի վրա գործարկելու համար: Հարձակվողների համար ամենաօգտակար շահագործումներն այն են, որոնք թույլ են տալիս կոդի գործարկումը հեռավոր համակարգում, քանի որ նրանք կարող են թույլ տալ հարձակվողներին մուտք գործել այդ համակարգ: Տեխնիկան կարող է իրականացվել հետևյալ մեթոդների կիրառմամբ՝ վնասակար նամակագրություն, զննարկիչի շահագործումներով կայք և հավելվածների խոցելիության հեռավոր շահագործում:
Ի՞նչ է անում PT NAD-ը:Փոստի տրաֆիկը վերլուծելիս PT NAD-ը ստուգում է այն հավելվածներում գործարկվող ֆայլերի առկայության համար: Ավտոմատ կերպով հանում է գրասենյակային փաստաթղթերը էլ. նամակներից, որոնք կարող են պարունակել շահագործում: Խոցելիությունը շահագործելու փորձերը տեսանելի են երթևեկության մեջ, որը PT NAD-ն ինքնաբերաբար հայտնաբերում է:
5. ՝ mshta
Օգտագործեք mshta.exe կոմունալ ծրագիրը, որն աշխատում է Microsoft-ի HTML հավելվածները (HTA) .hta ընդլայնմամբ: Քանի որ mshta-ն մշակում է ֆայլերը՝ շրջանցելով բրաուզերի անվտանգության կարգավորումները, հարձակվողները կարող են օգտագործել mshta.exe՝ վնասակար HTA, JavaScript կամ VBScript ֆայլեր գործարկելու համար:
Ի՞նչ է անում PT NAD-ը:mshta-ի միջոցով կատարվող .hta ֆայլերը նույնպես փոխանցվում են ցանցով, դա երևում է տրաֆիկում: PT NAD-ը ավտոմատ կերպով հայտնաբերում է նման վնասակար ֆայլերի փոխանցումը: Այն գրավում է ֆայլերը, և դրանց մասին տեղեկատվությունը կարող է դիտվել նիստի քարտում:
6. : PowerShell
Օգտագործելով PowerShell-ը՝ տեղեկատվություն գտնելու և վնասակար կոդ գործարկելու համար:
Ի՞նչ է անում PT NAD-ը:Երբ PowerShell-ը օգտագործվում է հեռավոր հարձակվողների կողմից, PT NAD-ը հայտնաբերում է դա՝ օգտագործելով կանոնները: Այն հայտնաբերում է PowerShell հիմնաբառեր, որոնք առավել հաճախ օգտագործվում են վնասակար սկրիպտներում և PowerShell սկրիպտների փոխանցումը SMB արձանագրության միջոցով:
7. : պլանավորված առաջադրանք
Օգտագործելով Windows Task Scheduler-ը և այլ կոմունալ ծառայություններ՝ որոշակի ժամանակներում ծրագրեր կամ սցենարներ ավտոմատ կերպով գործարկելու համար:
Ի՞նչ է անում PT NAD-ը:Հարձակվողները ստեղծում են նման առաջադրանքներ, սովորաբար հեռակա կարգով, ինչը նշանակում է, որ նման նիստերը տեսանելի են երթեւեկության մեջ: PT NAD-ը ավտոմատ կերպով հայտնաբերում է առաջադրանքի ստեղծման և փոփոխման կասկածելի գործողությունները՝ օգտագործելով ATSVC և ITaskSchedulerService RPC միջերեսները:
8. : սցենարավորում
Հարձակվողների տարբեր գործողությունների ավտոմատացման համար սցենարների կատարում:
Ի՞նչ է անում PT NAD-ը:հայտնաբերում է սկրիպտների փոխանցումը ցանցի միջոցով, այսինքն՝ նույնիսկ դրանց գործարկումից առաջ: Այն հայտնաբերում է սցենարի բովանդակությունը չմշակված տրաֆիկում և հայտնաբերում է ֆայլերի ցանցային փոխանցումը ընդլայնումներով, որոնք համապատասխանում են սկրիպտավորման հայտնի լեզուներին:
9. : ծառայության կատարում
Գործարկեք գործարկվող ֆայլ, հրամանի տող ինտերֆեյսի հրահանգներ կամ սկրիպտ՝ փոխազդելով Windows ծառայությունների հետ, օրինակ՝ Service Control Manager (SCM):
Ի՞նչ է անում PT NAD-ը:: ստուգում է SMB-ի տրաֆիկը և հայտնաբերում է մուտք դեպի SCM՝ ծառայության ստեղծման, փոփոխման և գործարկման կանոններով:
Ծառայության գործարկման տեխնիկան կարող է իրականացվել՝ օգտագործելով PSExec հեռակառավարման հրամանի կատարման կոմունալ ծրագիրը: PT NAD-ը վերլուծում է SMB արձանագրությունը և հայտնաբերում է PSExec-ի օգտագործումը, երբ այն օգտագործում է PSEXESVC.exe ֆայլը կամ ստանդարտ PSEXECSVC ծառայության անունը՝ հեռավոր մեքենայի վրա ծածկագիրը գործարկելու համար: Օգտագործողը պետք է ստուգի կատարված հրամանների ցանկը և հոսթից հեռակա հրամանների կատարման օրինականությունը:
PT NAD-ի հարձակման քարտը ցուցադրում է տվյալներ ATT&CK մատրիցով օգտագործվող մարտավարության և տեխնիկայի վերաբերյալ, որպեսզի օգտագործողը կարողանա հասկանալ, թե հարձակման որ փուլում են գտնվում հարձակվողները, ինչ նպատակներ են հետապնդում և ինչ փոխհատուցող միջոցներ ձեռնարկել:
Գործարկվում է PSExec կոմունալ ծրագիրը օգտագործելու կանոնը, որը կարող է ցույց տալ հեռավոր մեքենայի վրա հրամաններ կատարելու փորձ:
10: : երրորդ կողմի ծրագրակազմ
Տեխնիկա, որով հարձակվողները մուտք են ստանում հեռավոր կառավարման ծրագրակազմ կամ կորպորատիվ ծրագրային ապահովման տեղակայման համակարգ և օգտագործում այն վնասակար կոդ գործարկելու համար: Նման ծրագրերի օրինակներ՝ SCCM, VNC, TeamViewer, HBSS, Altiris:
Ի դեպ, տեխնիկան հատկապես տեղին է հեռահար աշխատանքի զանգվածային անցման և, որպես հետևանք, բազմաթիվ անպաշտպան տնային սարքերի կասկածելի հեռավոր մուտքի ալիքների միջոցով միացնելու հետ կապված:
Ի՞նչ է անում PT NAD-ը:ավտոմատ կերպով հայտնաբերում է նման ծրագրաշարի աշխատանքը ցանցում: Օրինակ, կանոնները գործարկվում են VNC արձանագրության միջոցով կապերի և EvilVNC տրոյականի գործունեության արդյունքում, որը գաղտնի տեղադրում է VNC սերվերը զոհի հոսթում և ավտոմատ կերպով գործարկում այն: Նաև PT NAD-ը ավտոմատ կերպով հայտնաբերում է TeamViewer արձանագրությունը, սա օգնում է վերլուծաբանին, օգտագործելով զտիչ, գտնել բոլոր նման նիստերը և ստուգել դրանց օրինականությունը:
11: : օգտագործողի կատարումը
Տեխնիկա, որում օգտագործողը գործարկում է ֆայլեր, որոնք կարող են հանգեցնել կոդի կատարման: Սա կարող է լինել, օրինակ, եթե նա բացում է գործարկվող ֆայլ կամ աշխատեցնում է գրասենյակային փաստաթուղթ մակրոյով:
Ի՞նչ է անում PT NAD-ը:: տեսնում է նման ֆայլերը փոխանցման փուլում՝ նախքան դրանց գործարկումը: Նրանց մասին տեղեկատվությունը կարելի է ուսումնասիրել այն նիստերի քարտում, որոնցում դրանք փոխանցվել են:
12: :Windows կառավարման գործիքավորում
WMI գործիքի օգտագործումը, որն ապահովում է տեղական և հեռավոր մուտք դեպի Windows համակարգի բաղադրիչներ: Օգտագործելով WMI՝ հարձակվողները կարող են փոխազդել տեղական և հեռավոր համակարգերի հետ և կատարել մի շարք առաջադրանքներ, ինչպիսիք են տեղեկատվության հավաքագրումը հետախուզական նպատակներով և գործընթացների մեկնարկը հեռակա կարգով՝ կողային շարժվելիս:
Ի՞նչ է անում PT NAD-ը:Քանի որ WMI-ի միջոցով հեռավոր համակարգերի հետ փոխազդեցությունները տեսանելի են երթևեկության մեջ, PT NAD-ը ավտոմատ կերպով հայտնաբերում է ցանցի հարցումները WMI նիստեր հաստատելու համար և ստուգում է թրաֆիկը WMI օգտագործող սկրիպտների համար:
13: Windows-ի հեռակառավարում
Windows ծառայության և արձանագրության օգտագործումը, որը թույլ է տալիս օգտագործողին շփվել հեռավոր համակարգերի հետ:
Ի՞նչ է անում PT NAD-ը:Տեսնում է Windows Remote Management-ի միջոցով ստեղծված ցանցային կապերը: Նման նիստերը հայտնաբերվում են ավտոմատ կերպով կանոններով:
14: XSL (Extensible Stylesheet Language) սցենարի մշակում
XSL ոճի նշագրման լեզուն օգտագործվում է XML ֆայլերում տվյալների մշակումն ու արտացոլումը նկարագրելու համար: Բարդ գործողություններին աջակցելու համար XSL ստանդարտը ներառում է տարբեր լեզուներով ներկառուցված սցենարների աջակցություն: Այս լեզուները թույլ են տալիս կամայական կոդի գործարկում, ինչը հանգեցնում է սպիտակ ցուցակների վրա հիմնված անվտանգության քաղաքականության շրջանցմանը:
Ի՞նչ է անում PT NAD-ը:հայտնաբերում է նման ֆայլերի փոխանցումը ցանցի միջոցով, այսինքն՝ նույնիսկ դրանց գործարկումից առաջ: Այն ավտոմատ կերպով հայտնաբերում է XSL ֆայլերը, որոնք փոխանցվում են ցանցով և անոմալ XSL նշումով ֆայլեր:
Հետևյալ նյութերում մենք կանդրադառնանք, թե ինչպես է PT Network Attack Discovery NTA համակարգը գտնում հարձակվողի այլ մարտավարություններ և տեխնիկա՝ MITER ATT&CK-ի համաձայն: Մնացեք մեզ հետ!
Բառը:
- Անտոն Կուտեպով, PT Expert Security Center, Positive Technologies-ի մասնագետ
- Նատալյա Կազանկովա, Positive Technologies-ի արտադրանքի շուկայավար
Source: www.habr.com