Расширяем функциональность KUMA SIEM

Выявление техники отключения или модификации локального межсетевого экрана и другие усовершенствования SIEM-системы KUMA.

Усовершенствования KUMA SIEM за 2 квартал 2024 года

В рамках регулярного исследования ландшафта угроз для России и СНГ наши эксперты изучили статистку анализа вредоносного программного обеспечения в Kaspersky Sandbox. Всего по итогам разбора миллионов самых распространенных вредоносных файлов, этой системой было выявлено 218 техник и подтехник с тысячами уникальных процедур. Мы, в свою очередь, тщательно изучили наиболее часто используемые атакующими техники и оперативно доработали или добавили в нашу SIEM-систему KUMA детектирующую логику для их выявления. В частности, в обновлении, вышедшем во втором квартале 2024 года мы дополнили и расширили логику для детектирования техники отключения/модификации локального межсетевого экрана (Impair Defenses: Disable or Modify System Firewall T1562.004 по классификации MITRE), которая входит в топ тактик, техник и процедур (TTPs), используемых  злоумышленниками.

Как злоумышленники отключают или модифицируют локальный межсетевой экран

Техника T1562.004 позволяет злоумышленникам обойти средства защиты (defense evasion) и получить возможность соединяться по сети с серверами C2 или дать возможность нетипичному приложению иметь базовый доступ к сети.

Распространены два способа изменения или отключения хостового файервола: с помощью утилиты netsh или с помощью внесения изменений в параметры реестра Windows. Вот примеры популярных командных строк, используемых злоумышленниками для этих целей:

  • netsh firewall add allowedprogram
  • netsh firewall set opmode mode=disable
  • netsh advfirewall set currentprofile state off
  • netsh advfirewall set allprofiles state off


Пример ветки реестра и значения, добавленного атакующими, разрешающего входящий UDP трафик для приложения C:\Users\<user>\AppData\Local\Temp\server.exe:

HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules

Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}

Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\

Users\<user>\AppData\Local\Temp\server.exe|Name=server.exe|’}

Еще один способ, которым пользуются атакующие для отключения Windows FW — остановка сервиса mpssvc. Чаще всего они осуществляют ее с помощью утилиты net:

net stop mpssvc

Как наше SIEM-решение выявляет T1562.004

Делается это с помощью добавленного правила R240, в частности за счет детектирования и корреляции следующих событий:

  • остановки злоумышленником сервиса локального межсетевого экрана для обхода его ограничений;
  • отключения или модификации злоумышленником политики локального межсетевого экрана с целью его обхода (конфигурирование или отключение межсетевого экрана через netsh.exe);
  • изменения злоумышленником правил на локальном межсетевом экране через реестр для обхода его ограничений (изменение правил через реестр Windows);
  • отключения злоумышленником локального межсетевого экрана через реестр;
  • манипуляций злоумышленника с локальным межсетевым экраном через модификации его политик

С учетом этого обновления сейчас на платформе доступно более 605 правил, из них 474 правила с непосредственно детектирующей логикой. Также мы доработали 20 старых правил путем исправления или корректировки условий.

Почему мы ориентируемся на классификацию MITRE

MITRE ATT&CK for Enterprise, служит де-факто отраслевым стандартом и включает в себя 201 технику, 424 подтехники и тысячи процедур. Поэтому, выбирая направление развития нашей SIEM-платформы, Kaspersky Unified Monitoring and Analysis Platform (KUMA), мы, среди прочего, основываемся именно на принятой у MITRE классификации.

Как и обещали в одном из предыдущих постов, мы начали включать разметку текущих правил в соответствии с методами и тактиками атак MITRE с целью расширить функции системы и отобразить степень защиты от известных угроз. Это важно, потому что позволяет структурировать детектирующую логику и убедиться в полноте правил — что нет «белых» пятен. Мы также ориентируемся на MITRE, когда разрабатываем OOTB (Out-of-the-box) контент нашей SIEM платформы. На данный момент наше решение покрывает 309 техник MITRE ATT&CK.

Что еще мы добавили и доработали в KUMA SIEM

Кроме вышеупомянутой логики детектирования T1562.004, мы добавили в SIEM-систему KUMA нормализаторы, позволяющие работать со следующими источниками событий:

  • [OOTB] Microsoft Products, [OOTB] Microsoft Products for KUMA 3, [OOTB] Microsoft Products via KES WIN — нормализатор предназначен для обработки части событий из журналов Security, System операционной системы Microsoft Windows Server. Нормализатор [OOTB] Microsoft Products via KES WIN поддерживает ограниченное количество типов событий аудита, передаваемых в KUMA KES WIN 6 по syslog.
  • [OOTB] Extreme Networks Summit Wireless Controller — нормализатор для некоторых событий аудита устройства Extreme Networks Summit Wireless Controller (Модель: WM3700, версия прошивки: 5.5.5.0-018R).
  • [OOTB] Kaspersky Security for MS Exchange SQL — нормализатор для событий системы Kaspersky Security for Exchange (KSE) версия 9.0, хранящихся в БД.
  • [OOTB] Tionix VDI file — нормализатор, поддерживающий обработку части событий системы Tionix VDI (версия 2.8), хранящихся в файле tionix_lntmov.log.
  • [OOTB] SolarWinds DameWare MRC xml — нормализатор, поддерживающий обработку части событий системы DameWare Mini Remote Control (MRC) версия 7.5, хранящихся в журнале Application операционной системы Windows. Нормализатор обрабатывает события, создаваемые провайдером «dwmrcs».
  • [OOTB] H3C Routers syslog — нормализатор для некоторых типов событий, поступающих от сетевых устройств H3C (Huawei-3Com) SR6600 (прошивка Comware 7) по syslog. Нормализатор поддерживает формат событий «standard»(RFC 3164-compliant format).
  • [OOTB] Cisco WLC syslog — нормализатор для некоторых типов событий, поступающих от сетевых устройств Cisco WLC (2500 Series Wireless Controllers, 5500 Series Wireless Controllers, 8500 Series Wireless Controllers, Flex 7500 Series Wireless Controllers) по syslog.
  • [OOTB] Huawei iManager 2000 file — нормализатор, поддерживающий обработку части событий системы Huawei iManager 2000, хранящихся в файлах \client\logs\rpc, \client\logs\deploy\ossDeployment.

Также, наши эксперты доработали следующие нормализаторы:

  • для продуктов компании Microsoft — переработанный нормализатор для Windows выложен в публичный доступ.
  • для системы PT NAD — разработан новый нормализатор для PT NAD версии 11.1, 11.0.
  • для UNIX-подобных операционных систем — реализована поддержка дополнительных типов событий;
  • для Check Point — работа над нормализатором с целью поддержки Check Point R 81
  • для системы Citrix NetScaler — реализована поддержка дополнительных событий Citrix ADC 5550 — NS13.0.
  • для FreeIPA — переработанный нормализатор выложен в публичный доступ.

Итого у нас поддерживается уже около 250 источников, и мы продолжаем расширять этот список, а также повышать качество каждого из коннекторов. С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.2 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции поставляемых из коробки.

Советы

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.

Подпишитесь на нашу еженедельную рассылку
  • For all other countries