Наиболее важные правила в опубликованных обновлениях позволяют пользователям MaxPatrol SIEM обнаруживать:
- типичные действия шифровальщиков, например массовую генерацию файлов или их изменение одним и тем же процессом;
- дополнительные признаки активности хакерских инструментов, ранее уже покрытых детектами; среди них, например, PPLBlade, Powermad, NimExec и SharpHound, который по-прежнему активно используется в атаках;
- популярные техники «Загрузка сторонних DLL-библиотек» (вредоносное ПО и APT-группировки применяют ее для проникновения в сеть и повышения привилегий) и «Подмена родительского PID» (используется атакующими для сокрытия вредоносных действий путем изменения родителя процесса) тактики «Предотвращение обнаружения» по матрице MITRE ATT&CK.
Подробнее на CyberMedia
