Безопасность
27 февраля 2024
Автор: Федор Кравцов
MaxPatrol SIEM обнаруживает атаки на службу каталогов для Linux-систем FreeIPA
Система мониторинга событий и управления инцидентами MaxPatrol SIEM IS компании Positive Technologies пополнилась набором экспертных знаний для обнаружения подозрительной активности в службе каталогов с открытым исходным кодом FreeIPA. Новые правила корреляции позволяют выявлять попытки киберпреступников получить доступ к инфраструктуре на ранней стадии.
В связи с уходом иностранных ИТ-поставщиков и политикой импортозамещения российские компании активно переходят на использование отечественного программного обеспечения, в основном операционных систем, большинство из которых являются официальными дистрибутивами ОС на базе Linux. Злоумышленники следуют этой тенденции и регулярно пополняют свой арсенал новейшими техниками и инструментами, атакуя новые системы в их инфраструктуре.
FreeIPA — это контроллер домена для Linux-систем, в котором можно централизованно управлять учетными записями пользователей и определять политики доступа и контроля FreeIPA является альтернативой службе каталогов Active Directory от Microsoft.
«В связи с продолжающейся миграцией корпоративных инфраструктур с Windows на Linux и переходом от Active Directory к локальным службам каталогов многие предприятия могут оказаться в зоне риска. Мы изучили, как атакуют FreeIPA, наиболее распространенную службу, похожую на Active Directory, и разработали правила для обнаружения нарушений в инфраструктуре», — говорит Вадим Пантелькин, эксперт по безопасности PT Expert Security Centre, PT Expert Security Centre.
Благодаря новым правилам MaxPatrol SIEM может обнаруживать взломы инфраструктуры FreeIPA с помощью таких хакерских фреймворков, как kerbrute, brute force (подбор учетных данных) и password espionage (один пароль для нескольких учетных записей), подозрительные действия пользователей, такие как массовые блокировки учетных записей и изменения критических пользовательских данных, а также LDAP-запросы к чувствительным атрибутам в домене.
Ранее стало известно о том, что в 2024 году появится новый механизм борьбы с атаками через QR-код. Подробнее об этом читайте в материале IT INFO MEDIA.