Mises à jour trimestrielles de détection et d'investigation intelligente d'ExtraHop
Ce guide fournit des informations sur les détections nouvelles et améliorées et les enquêtes intelligentes qui ont été publiées pour tous les capteurs au cours du trimestre précédent.
Détections et Enquêtes intelligentes sont continuellement développés et publiés sur connecté au cloud Des systèmes ExtraHop pour garantir que votre environnement est protégé contre les problèmes de performances et les dernières techniques d'attaque basées sur le réseau. Sans une connexion aux services cloud, les enquêtes intelligentes ne sont pas disponibles et les mises à jour de détection sont différées jusqu'à ce que le micrologiciel soit mis à niveau.
| Important : | Il est important de comprendre que l'état d'une détection peut changer à tout moment au fur et à mesure que nous affinons ou retirons des détections. Naviguez jusqu' au Catalogue de détection sur votre système ExtraHop pour rechercher les types de détection et vérifier si une détection spécifique est actuellement disponible sur votre système. (Nécessite ExtraHop 9.5) |
3E TRIMESTRE 2024
Nouvelles détections
| Type de détection | Exigences |
|---|---|
| Connexion HTTP C&C mythique | Décryptage TLS |
| Connexion SSL/TLS mythique C&C | N/A |
| Connexion WebUI mythique de C&C | N/A |
| Balisage Havoc C&C | Décryptage TLS |
| Scanner PingCastle | Décryptage Active Directory |
| Activité du protocole BackConnect | N/A |
| Activité du protocole BackConnect XOR | N/A |
Détections améliorées
| Remarque : | Ces améliorations de détection peuvent entraîner de nouveaux événements de détection. |
| Type de détection | Changement | Exigences |
|---|---|---|
| Tentative d'injection JNDI Log4Shell | Performances améliorées, prend désormais en charge un maximum de 250 chaînes JNDI uniques | Décryptage TLS |
DEUXIÈME TRIMESTRE 2024
Nouvelles détections
| Type de détection | Exigences |
|---|---|
| Activité HTTP du répondeur | Décryptage TLS |
| Activité NTLM du répondeur | N/A |
| Connexion HTTP Merlin C&C | Décryptage TLS |
| Activité Impacket PsExec | Décryptage Active Directory |
| Exploitation d'Apache ActiveMQ CVE-2023-46604 | Décryptage TLS |
| CVE-2024-3400 Création de fichiers PAN-OS Palo Alto Networks | Décryptage TLS |
| CVE-2024-3400 Tentative d'injection de commande PAN-OS de Palo Alto Networks | Décryptage TLS |
| Activité Rubeus Kerberos Diamond Ticket | Décryptage Active Directory |
Détections améliorées
| Remarque : | Ces améliorations de détection peuvent entraîner de nouveaux événements de détection. |
| Type de détection | Changement | Exigences |
|---|---|---|
| Fragmentation IP superposée | Performances améliorées | N/A |
| Tentative de lancement du service à distance pour exécuter un LOLBAS | Ajout de nouveaux fichiers exécutables LOLBAS | Décryptage Active Directory |
| Activité de l'Impacket SMBexec | Ajout de nouveaux indicateurs | N/A |
| Diminution soudaine de la bande passante des appareils à haute valeur | Ajout d'un support pour tous les appareils à valeur élevée | La version 9.5 ou antérieure inclut les appareils à valeur élevée spécifiés par le client
La version 9.6 ou ultérieure inclut tous les appareils à valeur élevée |
| CVE-2021-22205 Tentative d'exploitation de Gitlab CE et EE | Ajout d'un filtre pour les appareils exécutant Gitlab CE/EE | Décryptage TLS |
Nouveaux types d'enquêtes intelligentes
Votre système ExtraHop recommandera une investigation lorsque le trafic de votre réseau correspond aux critères requis pour ce type d'investigation.
| Type de détection | Exigences |
|---|---|
| Network Recon avec mouvement latéral | Un équipement de votre réseau a effectué des analyses du réseau, effectué des techniques d'énumération et tenté de contrôler à distance un autre équipement interne. Cette séquence de détection a été observée dans des campagnes d'attaques connues qui ont conduit à des rançongiciels. |
| Utilisation suspecte de logiciels | Un équipement de votre réseau était un délinquant qui a accédé à une combinaison de logiciels et de services cloud souvent utilisés de manière abusive par des attaquants. Les malwares et les groupes de menaces sont connus pour exploiter des logiciels accessibles au public tels que AdFind, Rclone, PingCastle, BloodHound et Impacket pour atteindre leurs objectifs d'attaque. |
| Téléchargement de fichiers exécutables avec mouvement latéral | Un équipement de votre réseau a été responsable du téléchargement, du transfert et de la détection de mouvements latéraux de fichiers exécutables. Cette séquence de détection peut être associée aux premières étapes de compromission du réseau, au cours desquelles un attaquant passe de sa position initiale à d'autres périphériques du réseau. |
| Enumération Active Directory | Un équipement de votre réseau a commis une infraction lors de détections par énumération, en tentant de découvrir des informations Active Directory (AD) telles que des utilisateurs privilégiés, des groupes et des politiques. |
1ER TRIMESTRE 2024
Nouvelles détections
| Type de détection | Exigences |
|---|---|
| Diminution inhabituelle des connexions TCP entrantes vers des appareils de grande valeur | N/A |
| Diminution soudaine de la bande passante des appareils à haute valeur | N/A |
| CVE-2023-22518 Exploit Atlassian Confluence | Décryptage TLS |
| Activité de BadCandy Web Shell | Décryptage TLS |
| CVE-06-36804 Exploit du serveur Atlassian Bitbucket et du centre de données | Décryptage TLS |
| CVE-2024-21887 Exploit sécurisé et sécurisé par politique d'Ivanti Connect | Décryptage TLS |
| Exfiltration de données vers Slack | Décryptage TLS (pour TLS 1.3) |
| Exfiltration de données vers Discord | Décryptage TLS (pour TLS 1.3) |
| Exfiltration de données vers GitHub | Décryptage TLS (pour TLS 1.3) |
| Exfiltration de données vers Dropbox | Décryptage TLS (pour TLS 1.3) |
| Tentative de réinitialisation rapide DoS HTTP/2 | Décryptage TLS |
| Téléchargement inhabituel de fichiers d'archives | Décryptage TLS (selon le protocole) |
| CVE-2023-38035 Exploit d'Ivanti Sentry | Décryptage TLS |
Détections améliorées
| Remarque : | Ces améliorations de détection peuvent entraîner de nouveaux événements de détection. |
| Type de détection | Changement | Exigences |
|---|---|---|
| Agent utilisateur suspect | Ajout de nouveaux indicateurs | N/A |
| Nouvelle requête d'énumération WMI | Performances améliorées | N/A |
| Nouvelle connexion externe (pour les protocoles RDP, SSH, FTP, NFS, base de données, IIOP, LDAP, CIFS, Java RMI et Cryptomining) | Performances améliorées | N/A |
Nouveaux types d'enquêtes intelligentes
Votre système ExtraHop recommandera une investigation lorsque le trafic de votre réseau correspond aux critères requis pour ce type d'investigation.
| Type de détection | Exigences |
|---|---|
| Activité C&C soutenue | Un équipement de votre réseau a été victime de plusieurs détections de commande et de contrôle (C&C). |
| Délinquant fréquent | Un équipement de votre réseau a été l'auteur de l'infraction grâce à une combinaison de techniques de mouvement latéral et d'exfiltration |
| C&C avec exfiltration | Un équipement de votre réseau a été victime d'une détection par commande et contrôle (C&C), puis est devenu le contrevenant lors d'une détection d'exfiltration. |
QUATRIÈME TRIMESTRE 2023
Nouvelles détections
| Type de détection | Exigences |
|---|---|
| Tentative d'exploit CVE-2023-27350 Papercut | Décryptage TLS |
| CVE-2023-24489 Tentative d'exploitation du contrôleur de zones de stockage Citrix ShareFile | Décryptage TLS |
| Tentative de phishing avec un fichier de recherche enregistré sous Windows | |
| Mauvaise qualité des appels VoIP (MOS) | N/A |
| Mauvaise qualité des appels VoIP (gigue) | N/A |
| CVE-2023-28771 Tentative d'exploitation de Zyxel Networks | N/A |
| Tentative d'exploit CVE-2023-46747 F5 BIG-IP | Décryptage TLS |
| Activité Mimikatz MS-RPC |
|
| Tentative de lancement du service à distance pour exécuter un LOLBAS | Décryptage Active Directory |
| Exploitation de Cisco IOS XE CVE-2023-20198 | N/A |
| Transfert de fichiers de base de données AD via SMB/CIFS | Décryptage Active Directory |
| CVE-2023-3519 Tentative d'exploitation de Citrix NetScaler ADC et Gateway | Décryptage TLS |
| Exploitation de Microsoft SharePoint CVE-2023-29357 | N/A |
Détections améliorées
| Remarque : | Ces améliorations de détection peuvent entraîner de nouveaux événements de détection. |
| Type de détection | Changement | Exigences |
|---|---|---|
| Nouvelle activité logicielle d'accès à distance | Ajout du support pour le logiciel AnyDesk | N/A |
| Activité de l'outil d'attaque Kerberos | Ajout de la prise en charge des techniques de Kerberoasting d'Orpheus et d'Impacket | Décryptage Active Directory |
| Nouvelle activité logicielle d'accès à distance | Ajout du support pour les logiciels TeamViewer et Splashtop | N/A |
| Canalisation nommée SMB/CIFS suspecte | Ajout de nouveaux indicateurs de programmes malveillants et de groupes de menaces | N/A |
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?