Обновление PT NAD

Новые возможности и улучшения в PT NAD версии 9.0.329

1. Новые возможности

• Виджет ATT&CK
• Виджеты по репутационным спискам и вердиктам Multiscanner
• Разделение атак и событий
• Выгрузка данных из виджетов
• Группы узлов в сессиях и атаках
• Разбор протокола SOCKS5, определение и разбор вложенных в него протоколов
• Разбор explicit TLS (SMTP, IMAP, POP3, FTP)
• Разбор NTLM, вложенного в другие протоколы
• Разбор KERBEROS, вложенного в другие протоколы
• Определение протоколов и приложений через правила
• Легкая версия маппинга
• Поддержка hot-warm архитектуры для метаданных
• Новый диалог выбора временного интервала.
• Новый диалог скачивания pcap-ов и файлов.
• Новый фильтр правил и исключений

2. Улучшения

• Заголовки http приведены к нижнему регистру
• Поддержка шифрованного трафика SMB3
• Улучшен разбор DCE RPC
• Новый механизм сохранения файлов
• Добавлено определение новых протоколов (17 единиц) и улучшено определение старых (6 единиц)

Подробная информация об обновлении доступна по следующей ссылке

MaxPatrol SIEM выявляет присутствие атакующих на этапе разведки

Пользователи MaxPatrol SIEM теперь могут выявлять злоумышленников на этапе, когда они собирают данные о скомпрометированной сети, чтобы развивать свою атаку. Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK.

Теперь пользователи смогут обнаружить активность злоумышленников еще во время их попыток получить список учетных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты. Полный список детектируемых техник — в руководстве по установке и использованию пакета экспертизы.

Утилита для обнаружения CVE-2019-19781

На сервисе GitHub был обнаружен рабочий эксплойт под ранее обнаруженную уязвимость CVE2019-19781 в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway), о которой  сообщалось в нашей новости.

Рекомендации вендора по устранению: https://support.citrix.com/article/CTX267679.

Также отмечается массовое сканирование сети Интернет с целью поиска данной уязвимости и ее эксплуатации. В случае использования данного ПО настоятельно советуем применить рекомендации вендора.

Для оперативной проверки инфраструктуры на наличие данной уязвимости Positive Technologies разработала отдельную утилиту, доступную для загрузки по следующей ссылке.