Знай врага своего: разбираем техники атакующих на The Standoff вместе с PT NAD

[ildar_vildanovich]

Очень интересно, жду продолжений!

[Protos]

Скажите, в реальной жизни, например, в ИТ компании приведенные сработки как часто ошибочны?

[ptsecurity]

Спасибо за интересный вопрос.
Зависит от того, что понимать под словом «ошибочны». Часть детектов из статьи указывают на активность, которая сама по себе является легитимным механизмом инфраструктуры Windows. Например, удаленное создание сервисов или создание пользователей. Это значит, что она может встречаться и при использовании администраторами. По опыту, легитимную активность можно достаточно быстро отсечь, обладая знаниями об инфраструктуре.
Другая часть детектов сделана на весьма конкретные вещи (например, reGeorg-туннель или активность Cobalt Strike), и они очень редко дают ошибочные срабатывания.

[Protos]

По вашему опыту стоить изучать каждое новое удаленное создание процесса или ориентироваться только на те что явно попали под ioc либо выявлены ранее как подозрительные?

[ptsecurity]

Стоит детально изучать такие активности, если они отличаются от типичных в инфраструктуре. На примере удаленного создания сервиса: такая активность, исходящая с сервера SCCM, для большинства инфраструктур является типичной. Запуск с рабочей станции пользователя уже более подозрительная активность. Конечно, есть еще много других факторов, таких как время активности или название сервиса, которые тоже влияют на решение о дальнейшем анализе.