MaxPatrol SIEM выявляет атаки на FreeIPA — службу каталогов для Linux-систем
В систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM добавлен пакет экспертизы для выявления подозрительной активности во FreeIPA — службе каталогов с открытым исходным кодом. Новые правила корреляции позволяют на ранних этапах обнаруживать попытки киберпреступников получить доступ к инфраструктуре.
В связи с уходом иностранных IT-вендоров и курсом на импортозамещение российские компании активно переходят на использование отечественного программного обеспечения, в частности операционных систем, многие из которых являются официальным дистрибутивом ОС на базе Linux. Злоумышленники следят за тенденциями и регулярно пополняют свой арсенал актуальными техниками и инструментарием для проведения атак на новые системы в инфраструктуре.
FreeIPA — контроллер домена для Linux-систем, посредством которого можно централизованно управлять учетными записями пользователей, устанавливать политики доступа и аудита. Представляет собой альтернативу службе каталогов Active Directory, разработанной Microsoft.
«Учитывая текущую миграцию корпоративных инфраструктур с Windows на Linux, которая влечет за собой переход с Active Directory на отечественные службы каталогов, большое число компаний может оказаться под угрозой. В ходе расследований мы изучили, как атакуют FreeIPA, один из самых популярных из доступных аналогов Active Directory, и разработали правила для обнаружения компрометации инфраструктуры», — отметил Вадим Пантелькин, специалист отдела экспертных сервисов PT Expert Security Center.
С помощью новых правил MaxPatrol SIEM среди прочего выявляет:
- разведку инфраструктуры во FreeIPA, выполняемую с помощью хакерских фреймворков, в частности kerbrute;
- попытки брутфорса (подбора учетных данных) и спреинга паролей (подбора одного пароля к множеству учетных записей);
- подозрительные действия пользователей, например массовую блокировку учетных записей или изменение критически важных пользовательских данных;
- LDAP[1]-запросы к чувствительным атрибутам в домене.
На основе FreeIPA построены другие IT-решения. Так, в Astra Linux, одной из наиболее популярных российских операционных систем, на нем реализована служба каталога ALD Pro.
«В продуктовой команде ALD Pro мы сформировали экспертные компетенции по FreeIPA и ее технологическим компонентам: 389 Directory Server, MIT Kerberos, ISC Bind 9. Но знать, как извлечь максимум информации о событиях безопасности из системы и как правильно построить корреляции для точного выявления инцидентов безопасности, — это две большие разницы. Поэтому мы рады нашему сотрудничеству с Positive Technologies (с PT Expert Security Center — командой MaxPatrol SIEM) и благодарны за то, что эксперты компании применили свой опыт работы с Active Directory для выявления подозрительной активности в FreeIPA. Уверены, что новые правила корреляции — заметный вклад в развитие этого направления», — комментирует Евгений Паутов, директор департамента разработки средств управления «Группы Астра».
Чтобы начать использовать новый пакет экспертизы, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить правила из пакета экспертизы.
[1] Протокол, который обычно используется для хранения и извлечения информации об инфраструктуре, ее активах, пользователях и групп пользователей.
похожие материалы
Эксперт Станислав Ежов из «Группы Астра» рассказал, как решить проблему ошибок ИИ
Искусственный интеллект пока не приносит ожидаемого роста производительности труда.
Новый сложный Linux-вредонос VoidLink нацелен на облачные среды и контейнеры
Исследователи по кибербезопасности из Check Point Research обнаружили ранее неизвестный и высокотехнологичный вредоносный фреймворк для Linux под названием VoidLink, ориентированный на облачные и контейнерные среды.
Хакеры взломали Европейское космическое агентство и выставили на продажу сотни гигабайт данных
Европейское космическое агентство сообщило о крупном инциденте, в ходе которого злоумышленники получили доступ к части его внешних серверов и похитили большие массивы данных.
Мошенники устроили «распродажу» невостребованных новогодних подарков в мессенджерах
Киберполиция Санкт-Петербурга предупредила о новой волне мошенничества, в рамках которой злоумышленники предлагают пользователям купить электронику и бытовую технику по бросовым ценам под предлогом распродажи «зависших» новогодних подарков.
Уязвимость WhisperPair ставит под угрозу миллионы Bluetooth-устройств по всему миру
Исследователи из группы Computer Security and Industrial Cryptography при Католическом университете Лёвена выявили критическую уязвимость в протоколе Google Fast Pair, получившую обозначение CVE-2025-36911 и прозванную WhisperPair.
Microsoft и правоохранители вывели из строя крупный сервис киберпреступников RedVDS
Microsoft объявила о совместной с международными правоохранительными органами операции по нейтрализации глобального сервиса RedVDS, который предоставлял киберпреступникам доступ к виртуальным рабочим столам за подписку и использовался для реализации масштабных мошеннических схем.
Logitech признала проблему с сертификатами на macOS, мешающую запуску G-Hub
Пользователи оборудования Logitech на macOS столкнулись с проблемой, из-за которой фирменное программное обеспечение G-Hub не запускается или работает некорректно.
Исследователи предупреждают о новой волне атак, связанных с цифровым обслуживанием управляющих компаний
Специалисты по кибербезопасности из сервиса Angara MTDR зафиксировали активизацию атак, связанных с изменениями в жилищном законодательстве.
Телекоммуникации стали главной целью кибератак в России
Центр мониторинга и реагирования на кибератаки RED Security SOC зафиксировал резкий сдвиг в приоритетах киберпреступников.
В Max опровергли информацию о взломе мессенджера
В пресс-службе национального мессенджера Max заявили, что информация о якобы взломанной платформе и утечке данных более 15 млн пользователей является недостоверной.