Nokia отчиталась за квартал - ОС Symbian^3 и Symbian^4 выйдут в срок
От
Евгений Малинин
в Новости и события со всего мира
-
Похожий контент
-
От KL FC Bot
В рамках регулярного исследования ландшафта угроз для России и СНГ наши эксперты изучили статистку анализа вредоносного программного обеспечения в Kaspersky Sandbox. Всего по итогам разбора миллионов самых распространенных вредоносных файлов, этой системой было выявлено 218 техник и подтехник с тысячами уникальных процедур. Мы, в свою очередь, тщательно изучили наиболее часто используемые атакующими техники и оперативно доработали или добавили в нашу SIEM-систему KUMA детектирующую логику для их выявления. В частности, в обновлении, вышедшем во втором квартале 2024 года мы дополнили и расширили логику для детектирования техники отключения/модификации локального межсетевого экрана (Impair Defenses: Disable or Modify System Firewall T1562.004 по классификации MITRE), которая входит в топ тактик, техник и процедур (TTPs), используемых злоумышленниками.
Как злоумышленники отключают или модифицируют локальный межсетевой экран
Техника T1562.004 позволяет злоумышленникам обойти средства защиты (defense evasion) и получить возможность соединяться по сети с серверами C2 или дать возможность нетипичному приложению иметь базовый доступ к сети.
Распространены два способа изменения или отключения хостового файервола: с помощью утилиты netsh или с помощью внесения изменений в параметры реестра Windows. Вот примеры популярных командных строк, используемых злоумышленниками для этих целей:
netsh firewall add allowedprogram netsh firewall set opmode mode=disable netsh advfirewall set currentprofile state off netsh advfirewall set allprofiles state off
Пример ветки реестра и значения, добавленного атакующими, разрешающего входящий UDP трафик для приложения C:\Users\<user>\AppData\Local\Temp\server.exe:
HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}
Registry_value:’v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\
Users\<user>\AppData\Local\Temp\server.exe|Name=server.exe|’}
Еще один способ, которым пользуются атакующие для отключения Windows FW — остановка сервиса mpssvc. Чаще всего они осуществляют ее с помощью утилиты net:
net stop mpssvc Как наше SIEM-решение выявляет T1562.004
Делается это с помощью добавленного правила R240, в частности за счет детектирования и корреляции следующих событий:
остановки злоумышленником сервиса локального межсетевого экрана для обхода его ограничений; отключения или модификации злоумышленником политики локального межсетевого экрана с целью его обхода (конфигурирование или отключение межсетевого экрана через netsh.exe); изменения злоумышленником правил на локальном межсетевом экране через реестр для обхода его ограничений (изменение правил через реестр Windows); отключения злоумышленником локального межсетевого экрана через реестр; манипуляций злоумышленника с локальным межсетевым экраном через модификации его политик С учетом этого обновления сейчас на платформе доступно более 605 правил, из них 474 правила с непосредственно детектирующей логикой. Также мы доработали 20 старых правил путем исправления или корректировки условий.
View the full article
-
От Tyson
Всем добрый день! Только недавно работаю с KES и KSC и пока возможно не всё еще до конца понимаю, но недавно сменил ключ на сервере KSC. У большинства подчиненных устройств смена ключа прошла нормально, но примерно у 10% в KSC закрепился статус "Срок действия лицензии истек", однако и в свойствах KSC касперского самого на устройстве (скрин) и при удалённом подключении ключ стоит верный и статус активный. За прошлую неделю количество устройств с "законечнной" лицензией уменьшилось на 2, при том что никаких изменений в настройки политик или переустановок не делал. В чем может быть проблема в самом КSC, KES или Агенте и как починить этот статус?
Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам
-
От d_kid
При выборке событий "Критические события" в журнале выходят подобные ошибки:
Статус устройства 'pc' изменился на 'Критический': Заканчивается или закончился срок действия лицензии.
Обратил внимание, что подобные ошибки выходят у тех, у кого в лицензии-свойства-устройства Дата действителен до стоит 01.01.1970, хотя ключ распространял сразу на все машины. Как это исправить?
-
От DmitriyKaplin
Добрый день!
KSC 14.2 / агенты администрирования 14.2 / KSWS 11.0.1.897
Обновил лицензии на всех устройствах спокойно и статусы у них поменялись. С серверами возникла проблема с статусами. На всех серверах лицензия обновилась, но в консоли KSC в их статусах по прежнему мелькает "Срок действия лицензии истёк". Перегружал сами сервера и KSC - ситуация не изменилась. Как быть?)
-
От ska79
Дали за бета тестирование код активации на Kaspersky plus, сейчас активtн код от kts. Активируется ли раньше окончания срока кода kts код активации от Plus, если прикреплю его в личном кабинете?
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти