Positive Technologies представляет обновленную систему PT NAD с расширенными возможностями обнаружения аномалий и эксплуатации уязвимостей.

Positive Technologies анонсировала новую версию своей системы анализа трафика PT Network Attack Discovery (PT NAD) для обнаружения атак на периметре и внутри сети. В PT NAD 11.1 внедрены новые статистические и поведенческие модули, которые позволяют выявлять до сих пор неизвестные ICMP-туннели, аномалии в SMB-трафике, а также признаки использования хакерских инструментов Cobalt Strike и Brute Ratel С4. Кроме того, в этой версии представлен модуль, который подтверждает успешную эксплуатацию уязвимостей на узлах.

Использование поведенческого анализа трафика позволяет точно выявлять атаки. В новом выпуске PT NAD внедрены сложные алгоритмы, основанные на профилировании каждого устройства в сети, сборе данных и поиске отклонений. Команда разработчиков PT NAD успешно перенесла свою экспертизу по проктивному поиску угроз в сетевом трафике в автоматические детекты. Они акцентируют внимание на расширении возможностей настройки продукта под конкретную инфраструктуру каждой компании, чтобы обеспечить более точное обнаружение аномалий и уникальных срабатываний, которые могут представлять угрозу для безопасности.

Одним из методов поддержки связи с компрометированной инфраструктурой является использование скрытых каналов передачи данных, таких как ICMP-туннели. Такая активность обычно остаётся незамеченной файрволами и другими системами обнаружения. Однако PT NAD 11.1 способен обнаружить известные и новые утилиты, используемые злоумышленниками для скрытия своего присутствия в сети, путём анализа статистических данных ICMP-пакетов.

Для того чтобы оставаться незамеченными, злоумышленники шифруют SMB-трафик и используют вредоносное программное обеспечение и инструменты постэксплуатации, взаимодействуя со своими агентами по именованным каналам SMB. Новые поведенческие модули в PT NAD обнаруживают шифрованный протокол SMB и появление новых SMB-пайпов в трафике.

PT NAD 11.1 способен обнаружить работу фреймворков Cobalt Strike и Brute Ratel C4, которые активно используются в целевых атаках. Фреймворки позволяют атакующим взаимодействовать с компрометированными узлами, выполнять команды и проникать внутрь инфраструктуры. Для выявления вредоносной активности специалисты Positive Technologies разработали статистические модули, которые обнаруживают коммуникацию агентов этих фреймворков постэксплуатации с управляющим сервером.

PT NAD 11.1 также включает новый модуль для обнаружения успешной эксплуатации уязвимостей. Опыт экспертного центра безопасности Positive Technologies показывает, что эксплуатация уязвимостей является одним из наиболее распространенных векторов атак на корпоративные сети. Новый модуль поведенческого анализа автоматически извлекает вредоносные индикаторы из сетевых запросов и проверяет их использование после эксплуатации уязвимости на узле.

В новой версии PT NAD представлен мастер настройки, который позволяет пользователям установить основные параметры работы продукта в два раза быстрее. Мастер также упрощает развертывание продукта.

Другие изменения в PT NAD 11.1 включают улучшенный механизм исключений из ленты активностей, возможность создания общих фильтров и их обмена с командой, проверку корректности захвата и обработки трафика, а также различные инженерные и улучшения пользовательского интерфейса.

Источник: securitylab