Группы сигнатур

В статье описаны группы сигнатур и история их изменений.

На вкладке Группы сигнатур доступны для просмотра предустановленные и пользовательские группы правил системы Предотвращения вторжений, распределенные по тактикам в соответствии с матрицей MITRE ATT&CK (матрица тактик и техник кибератак):

Чтобы увидеть сигнатуры, входящие в группу, нажмите на . Чтобы увидеть содержание сигнатуры, наведите курсор мыши на SID:

Описание групп сигнатур

DNS поверх HTTPS - обнаруживает и блокирует попытки скрыть DNS-запросы путем туннелирования через TLS/SSL (DNS поверх HTTPS). Правила анализируют трафик, чтобы выявить характерные для DoH-сессий доменные имена, используемые для обхода стандартных механизмов DNS-фильтрации. Такие методы злоумышленники могут применять для обхода сетевых политик, утечки данных или скрытого управления зараженными системами. Применение этих правил помогает предотвратить несанкционированное использование DoH.
GeoIP Страны Восточной Европы - обнаруживает попытки доступа к IP-адресам, соответствующим различным странам. Система анализирует исходящий и входящий трафик и определяет подключения, соответствующие геолокационным критериям, которые могут свидетельствовать о потенциальных угрозах. Такой механизм фильтрации помогает блокировать несанкционированный доступ, атаки и прочую активность.
SSL-сертификаты, используемые вредоносным ПО и ботнетами - обнаруживает использование SSL-сертификатов, которые вредоносное ПО и ботнеты применяют для установления защищенных TLS-соединений с командными центрами злоумышленников (C2). Система анализирует отпечатки SSL-сертификатов, присутствующих в трафике, и выявляет попытки скрыть коммуникации посредством легитимно выглядящих шифрованных каналов. При обнаружении совпадений с известными вредоносными отпечатками такие соединения блокируются. Это предотвращает скрытое управление зараженными системами и снижает риск утечки данных и распространения кибератак.
Авторизация с подозрительным логином - обнаруживает попытки авторизации с использованием подозрительных логинов, которые говорят о фишинговых атаках, переборе паролей или применении специализированных эксплойтов для несанкционированного доступа. Выявление таких аномалий позволяет своевременно блокировать соединения, предотвращая компрометацию систем и утечку данных.
Анонимайзеры - обнаруживает использование анонимайзеров для сокрытия истинного источника трафика и возможного обхода систем контроля доступа. Определяются ключевые маркеры, связанные с различными сервисами анонимизации. Злоумышленники могут применять эти технологии для маскировки атак, утечек данных и обхода корпоративных политик безопасности, что делает их важными для своевременного обнаружения и блокировки.
Атаки на получение прав пользователя - обнаруживает попытки получить несанкционированный доступ к учетным данным через эксплуатацию уязвимостей системы и применить специализированные инструменты. Анализируя сетевой трафик, фиксируются характерные маркеры атак, такие как выполнение команд для изменения настроек, обращения к реестру и т.д. Выявление подобной активности позволяет своевременно блокировать подозрительные соединения, предотвращая компрометацию систем и утечку конфиденциальной информации.
Атаки на получение привилегий администратора - обнаруживает попытки получить административные привилегии с использованием уязвимостей и эксплойтов для эскалации прав. Анализируя сетевой трафик, определяет характерные маркеры активности. Такие действия могут указывать на внедрение вредоносного ПО или бэкдоров, что позволяет своевременно блокировать атаки и предотвращать компрометацию критически важных систем.
Блокирование активности троянских программ - обнаруживает попытки эксплуатировать троянские программы, направленные на скрытую передачу данных, удаленно управлять зараженными системами, утечку конфиденциальной информации и др. Анализируя сетевой трафик, выявляет характерные маркеры активности вредоносных троянов - специфичные сигнатуры пакетов, аномальные HTTP-запросы, подозрительные команды и нестандартные DNS-запросы, связанные с ransomware. Блокировка таких соединений предотвращает дальнейшее распространение атак и защищает критически важные данные.
Блокирование атак - обнаруживает попытки атак, направленные на эксплуатацию уязвимостей информационных систем, проведение сканирования портов, удаленное выполнение кода и другие методы вторжения. Анализирует входящий и исходящий сетевой трафик, фиксируя характерные сигнатуры эксплойтов, аномалии в пакетах, нестандартные команды и подозрительные запросы, указывающие на попытки получить несанкционированный доступ, провести DoS-атаки или обойти защитные механизмы. Оценивает репутацию IP-адресов и блокирует трафик, исходящий с адресов, имеющих негативную репутацию или принадлежащих к известным нодам Tor. Это позволяет предотвращать компрометацию инфраструктуры, утечку конфиденциальных данных и нарушение стабильности работы сетевых ресурсов.
Блокирование крупных утечек информации - обнаруживает попытки несанкционированного экспорта данных из систем. Анализируя пакеты, фиксирует характерные маркеры экспорта и специфичные заголовки, свидетельствующие о массовой передаче конфиденциальной информации. Это позволяет оперативно блокировать такие соединения и предотвращать утечку критически важных данных.
Блокирование некорректных попыток получения привилегий пользователя - обнаруживает попытки получить привилегии пользователя посредством некорректных или несанкционированных аутентификаций, которые могут указывать на попытки перебора или взлома учетных записей. Анализируя ответы серверов с сообщениями типа "Login failed", "Invalid login" и другие индикаторы неудачных входов, фиксирует подозрительные активности в протоколах FTP, SSH, RPC, SQL и других службах. Это позволяет оперативно блокировать подобные соединения, снижая риск компрометации учетных данных и предотвращая дальнейшие атаки.
Блокирование подозрительных RPС-запросов - обнаруживает подозрительные RPC-запросы, предназначенные для вызова удаленных функций на сервере. Они могут свидетельствовать о попытках эксплуатации уязвимостей или несанкционированного выполнения команд. Анализируя как UDP, так и TCP-трафик, фиксирует аномальные структуры пакетов, неверные параметры и нестандартные последовательности байтов, характерные для вредоносных активностей. Это позволяет оперативно блокировать подозрительные запросы, предотвращая потенциальное выполнение нежелательного кода и компрометацию систем.
Блокирование попыток запуска исполняемого кода - обнаруживает попытки запуска исполняемого кода, направленные на удаленное выполнение команд и получение несанкционированного доступа к системам. Анализирует сетевой трафик на предмет характерных сигнатур RCE, включая специфичные байтовые последовательности, связанные с PHP object deserialization, веб-шеллами, Log4Shell и другими эксплойтами. Фиксирует аномалии в HTTP, TCP и UDP-запросах, что позволяет оперативно блокировать вредоносные попытки выполнения shellcode и предотвращать компрометацию целевых систем.
Блокирование утечек информации - обнаруживает попытки несанкционированного извлечения конфиденциальных данных через сетевые протоколы. Анализируя входящий и исходящий трафик, фиксирует передачу содержимого критически важных файлов, а также различной системной информации. Выявление таких индикаторов утечки позволяет оперативно блокировать подозрительные соединения, предотвращая утечку секретных данных и снижая риск компрометации систем.
Запросы на скомпрометированные ресурсы - обнаруживает нарушения корпоративных политик, связанные с обращениями к ресурсам, имеющим подозрительную репутацию. Правила фиксируют случаи, когда сетевой трафик указывает на несанкционированное использование различных протоколов, автоматизацию браузера или передачу данных в виде незащищенного контента. Такие сигнатуры служат индикаторами потенциального нарушения корпоративной безопасности, позволяя своевременно выявлять и блокировать подобные подключения.
Использование DNS-трафика для управления вредоносным ПО - обнаруживает попытки использовать DNS-трафик для управления вредоносным ПО, когда зараженные системы обращаются к серверам команд и контроля (C2) для получения инструкций. Анализируя DNS-запросы, TLS SNI и HTTP-заголовки, фиксирует обращения к известным вредоносным доменам и серверам, выявляя характерные паттерны связи с C2-инфраструктурой. Это позволяет оперативно блокировать такие соединения, предотвращая удаленное управление, утечку данных и дальнейшее распространение вредоносного кода.
Нежелательное программное обеспечение - обнаруживает попытки использовать нежелательное программное обеспечение, включая adware и потенциально нежелательные утилиты, которые могут собирать и передавать конфиденциальные данные или связываться с вредоносными серверами. Анализируя HTTP, DNS и TLS-трафик, фиксирует характерные сигнатуры, специфичные запросы и уникальные идентификаторы, связанные с подобной активностью. Это позволяет блокировать подозрительные соединения, предотвращать утечки информации и снижать риск компрометации конечных устройств.
Неизвестный тип трафика - обнаруживает неопознанный трафик, который не соответствует стандартным протоколам или содержит аномальные, подозрительные шаблоны поведения. Анализирует HTTP-запросы, TLS-соединения и DNS-сообщения на предмет нестандартных User-Agent, специфических JA3-хэшей, необычных кодировок, пустых или искаженных заголовков и прочих аномалий. Такие признаки могут указывать на попытки сканирования, обхода защитных механизмов или эксплуатацию уязвимостей. Выявление подобного трафика позволяет оперативно блокировать несанкционированное взаимодействие и снижать риск кибератак.
Нецелевое использование стандартных портов - обнаруживает случаи нецелевого использования стандартных портов, когда сервисы, предназначенные для определенных протоколов, применяются для нелегитимных целей. Анализируя сетевой трафик, фиксирует аномальные подключения, при которых стандартный порт используется для обхода политик безопасности, скрытой передачи данных или запуска вредоносных операций. Это позволяет своевременно блокировать подозрительные соединения и предотвращать попытки эксплуатации инфраструктуры в обход установленных правил.
Обнаружение нарушений стандартов сетевых протоколов - обнаруживает обращения по нестандартным или модифицированным протоколам, отклоняющимся от официальных спецификаций. Анализируя сетевой трафик, фиксирует аномальные баннеры, команды и последовательности данных, которые могут свидетельствовать о попытках обхода стандартных механизмов защиты или эксплуатации уязвимостей. Выявление таких нарушений позволяет оперативно блокировать трафик, не соответствующий протокольным стандартам, и предотвращать несанкционированный доступ и передачу вредоносного кода.
Обнаружение подозрительной сетевой активности - обнаруживает аномалии в сетевом трафике, связанные с нестандартными или подозрительными действиями легитимных пользователей. Анализируя различные протоколы, включая HTTP, TCP, UDP, TLS и DNS, фиксирует отклонения от нормального поведения, такие как частые попытки подключения, необычные запросы или аномальные данные, которые могут свидетельствовать о сканировании сети, автоматизированных атаках или обходе защитных механизмов. Это позволяет своевременно выявлять и блокировать потенциально вредоносный трафик.
Обнаружение подозрительных команд - обнаруживает команды, нехарактерные для стандартного поведения систем, которые злоумышленники могут использовать для обхода защитных мер. Анализируя сетевой трафик, фиксирует аномальные запросы и нестандартные вызовы, например, обращения к зарезервированным ресурсам (COM1, LPT1, LPT4, NULL), что свидетельствует о попытках эксплуатации и несанкционированного доступа. Блокировка таких команд помогает предотвратить возможные атаки и сохранить целостность информационных систем.
Обнаружение успешных краж учетных данных - обнаруживает попытки несанкционированного извлечения учетных данных, направленные на получение логинов, паролей и другой конфиденциальной информации. Анализируя содержимое HTTP-запросов, POST-данные и серверные ответы, фиксирует характерные шаблоны фишинговых атак. Также учитываются сообщения об ошибках аутентификации, указывающие на успешное компрометирование учетных записей, что позволяет оперативно блокировать атаки и предотвращать утечку данных.
Определение внешнего IP-адреса - обнаруживает попытки определения внешнего IP-адреса, когда внутренние системы обращаются к внешним сервисам для получения информации о своей публичной адресации. Анализирует HTTP-запросы, DNS-запросы и TLS SNI, указывающие на обращения к подобным ресурсам. Это позволяет блокировать несанкционированное взаимодействие с внешней инфраструктурой и предотвращать сбор данных для дальнейшей разведки или подготовки атак.
Ошибки в сетевых протоколах - обнаруживает нарушения стандартов сетевых протоколов, фиксируя ошибки в форматировании сообщений, некорректные заголовки и структурные аномалии пакетов. Анализируя входящий и исходящий трафик, система выявляет сбои в реализации протокольных команд, которые могут быть следствием как технических недочетов, так и преднамеренных манипуляций злоумышленников. Это позволяет своевременно блокировать подозрительные соединения, предотвращая атаки, обход защитных механизмов и снижая риск компрометации информационных систем.
Подозрительное обращение к файлам - обнаруживает обращения к файлам, которые не соответствуют обычным операциям системы и могут указывать на несанкционированный доступ или попытки извлечения/модификации критически важных данных. Анализируя сетевой трафик, фиксирует запросы на загрузку, копирование или просмотр файлов с нестандартными расширениями или путями, например, системных конфигураций, резервных копий или скрытых ресурсов. Это позволяет блокировать подозрительную активность, предотвращая утечку данных и возможную компрометацию системы.
Попытки авторизации с логином и паролем по-умолчанию - обнаруживает попытки авторизации с использованием учетных данных по умолчанию, когда злоумышленники применяют стандартные логины и простые пароли для входа в систему. Анализируя трафик, система выявляет запросы, содержащие типичные параметры доступа к различным системам. Такие действия указывают на попытки несанкционированного доступа, что позволяет оперативно блокировать подобные соединения и предотвращать компрометацию сетевой инфраструктуры.
Попытки использования социальной инженерии - обнаруживает попытки социальной инженерии, направленные на обман пользователей и получение конфиденциальной информации, такой как учетные данные/доступ к корпоративным ресурсам. Включает выявление фишинговых сайтов, мошеннических схем с техподдержкой, вредоносных редиректов и подозрительных доменов в DNS-запросах. Эти атаки часто имитируют известные сервисы или компании, побуждая жертву выполнить вредоносные действия, что может привести к утечке данных или компрометации системы.
Попытки получения привилегий администратора - обнаруживает попытки повысить привилегии до уровня администратора и получить учетные данные с использованием различных техник. Включает детектирование эксплойтов, направленных на уязвимости в операционных системах и приложениях, SQL-инъекций, обхода аутентификации, эксплуатации слабых конфигураций сервисов, а также атак на учетные записи через протоколы Telnet, RDP, SMB и другие. Такие действия могут указывать на компрометацию системы или активность злоумышленников, пытающихся расширить контроль над сетью.
Попытки получения привилегий пользователя - обнаруживает попытки повысить привилегии и компрометировать учетные данные пользователей, в том числе - использовать уязвимости в серверных приложениях, базах данных и сетевых сервисах. Включает правила для выявления SQL-инъекций, эксплуатации переполнения буфера, обхода аутентификации и атак на учетные записи пользователей. Используется для защиты от угроз, направленных на несанкционированный доступ и эскалацию привилегий в корпоративных и облачных средах.
Попытки получения системных файлов - обнаруживает попытки получить конфигурационные и системные файлы, включая файлы паролей, журналы, резервные копии и другие критически важные данные. Включает правила для выявления сканирования уязвимостей, запроса конфигураций через веб-интерфейсы, злоупотребления FTP, SMB, SSH и др. Используется для предотвращения утечек данных и сбора информации, которые могут привести к дальнейшей компрометации инфраструктуры.
Попытки проведения DoS-атак - обнаруживает попытки проведения атак типа отказа в обслуживании (DoS), включая флуд, амплификационные атаки и иные методы перегрузки сетевых ресурсов. Анализирует трафик на наличие аномальных запросов и последовательностей, характерных для DDoS-атак в протоколах VoIP, HTTP, NTP, SSDP и других. Фиксирует массовые запросы, некорректные ответы и превышение пороговых значений, что позволяет оперативно блокировать подобные соединения и предотвращать отказ в обслуживании легитимных пользователей.
Попытки сканирования сети - обнаруживает попытки сканирования сети, свидетельствующие о разведке для последующих атак. Анализируя TCP, UDP, ICMP и HTTP-трафик, фиксирует массовые SYN-запросы, сканирование портов, аномальные User-Agent и повторяющиеся обращения к различным сервисам. Такие действия характерны для инструментов вроде Nmap и Zmap, которые злоумышленники используют для поиска уязвимостей. Выявление подобных активностей позволяет оперативно блокировать сканирование и предотвращать потенциальное проникновение в сеть.
Потенциально опасный трафик - обнаруживает трафик с подозрительной шифровкой или запутанными, обфусцированными данными и нестандартными запросами, не характерными для легитимной сетевой активности. Анализируя HTTP, DNS, TLS и IP-заголовки, фиксирует аномальные User-Agent, обращения к подозрительным доменам и C2-серверам, а также другие индикаторы, свидетельствующие о попытках скрыть вредоносную коммуникацию. Это позволяет оперативно блокировать такие соединения, снижая риск проникновения и распространения атак.
Пулы криптомайнеров - обнаруживает попытки взаимодействия с криптомайнинговой инфраструктурой через анализ DNS-запросов, TLS-сессий и TCP-трафика, фиксируя характерные доменные имена и сигнатуры, связанные с известными пулами. Выявляет обращения, используемые криптомайнерами для передачи нагрузки, и блокирует такие соединения, предотвращая несанкционированное использование сетевых ресурсов для майнинга и минимизируя риск утечки вычислительной мощности.
Расширенная база правил (от Лаборатории Касперского) - обнаруживает трафик, который генерируют вредоносные инструменты, используемые злоумышленниками для разведки, атак и несанкционированного доступа. Анализируя HTTP, FTP, SIP, UDP и TCP-запросы, фиксирует аномалии, характерные для SQL-инъекций, эксплойтов, C&C-коммуникаций и других угроз. Правила от Лаборатории Касперского используют сигнатуры и поведенческий анализ для своевременного обнаружения и блокировки подозрительной активности, что помогает предотвратить утечку данных и повысить защиту сети от современных кибератак.
Телеметрия Windows - обнаруживает попытки передать телеметрические данные Windows на серверы Microsoft и связанные сервисы. Анализирует сетевой трафик, включая TLS-сессии с SNI-запросами и DNS-запросы, выявляя характерные строки. Блокирует такие обращения, предотвращая автоматическую отправку телеметрии, что способствует защите конфиденциальности пользователей и снижению объема передаваемой информации.
Управление вредоносным ПО - обнаруживает сетевой трафик инструментов, которые злоумышленники используют для разведки, атак и несанкционированного доступа, включая эксплойты, SQL-инъекции, обход аутентификации и C&C-коммуникации. Использует сигнатуры и поведенческий анализ для выявления характерных HTTP-, FTP-, SIP- и других запросов. Такие инструменты тесно связаны с вредоносным ПО и кибератаками, что позволяет оперативно блокировать их активность.
Целевое использование вредоносного ПО - обнаруживает целевой трафик, связанный с вредоносным программным обеспечением, которое злоумышленники используют для компрометации систем, кражи данных и установления контроля над устройствами. Анализируя HTTP, DNS, TLS и другие протоколы, фиксирует обращения, характерные для APT-активностей и C&C-коммуникаций, а также сигнатуры известных вредоносных семейств. Блокировка таких запросов позволяет предотвратить целевые атаки и снизить риск утечки конфиденциальной информации.
Черный список IP-адресов - обнаруживает трафик, направленный к IP-адресам, внесенным в черный список различных баз (НКЦКИ, открытые источники и тд). Система анализирует входящий и исходящий трафик, сравнивая адреса с известными источниками угроз и вредоносных операций. При обнаружении совпадений соединения блокируются, что предотвращает доступ к ресурсам, участвующим в фишинге, ботнет-активности, спаме и других киберугрозах, тем самым повышая общий уровень сетевой безопасности.
Эксплойты - обнаруживает попытки эксплуатации системных уязвимостей с использованием эксплойт-китов, зачастую идентифицируемых по стандартным идентификаторам CVE-XXXX-XXXXX. Анализируя трафик в различных протоколах (HTTP, TLS, DNS и других), система фиксирует характерные сигнатуры и аномальные запросы, указывающие на запуск вредоносного кода или несанкционированный доступ. Блокировка таких соединений позволяет оперативно предотвратить компрометацию инфраструктуры и утечку конфиденциальной информации.

История изменений групп сигнатур

31.01.2024

Улучшена блокировка Hola VPN и Browsec VPN.

14.12.2023

Оптимизированы правила блокировки анонимайзеров.

11.12.2023

Удалена категория Попытки выполнить системный вызов из IPS.

07.12.2023

Добавлены новые правила для Телеметрии Windows;
VPN-Browsec не блокируется (добавлены новые правила для блокировки VPN-Browsec);
Удалена категория Защита SMTP;
Телеметрия Windows блокирует Skype (убраны 2 правила телеметрии, которые блокировали функции Skype).

23.11.2023

Ошибка в формировании правил пула криптомайнеров (исправлена ошибка правил, блокирующая легитимные ресурсы по типу www.fr).

31.10.2023

Удалено правило "ET EXPLOIT Cisco IOS XE Web Server Possible Authentication Bypass Attempt (CVE-2023-20198) (Outbound)" из-за некорректности обработки.

30.10.2023

Удаление из обработки ET категории web-app-attack (Атаки на веб-приложения).

12.10.2023

Удалена категория PT Open.

02.10.2023

Убраны устаревшие и неработающие правила.

20.09.2023

Оптимизация расширенных правил.

21.07.2023

Отключено правило, блокирующее вход в AD.

21.06.2023

Исправление входа в Active Directory.

05.06.2023

Улучшение блокировки криптомайнеров.

30.05.2023

Улучшение блокировки DoH-запросов.

17.05.2023

Добавлена блокировка эксплойта MSMQ-серверов (CVE-2023-21554).

06.04.2023

Обновление черного списка;
Обновление источников детектирования DoH.

09.03.2023

Улучшение блокировки пулов криптомайнеров.

06.03.2023

Оптимизация срабатывания правил.

02.03.2023

Исправление работы FreeDNS;
Улучшение блокировки TOR и анонимайзеров.

01.03.2023

Исправление работы DropBox.

21.02.2023

Обновление источников черного списка IP-адресов;
Исправление работы Windows Store.

13.02.2023

Добавлен список SSL-сертификатов вредоносного ПО.

06.02.2023

Исправление доступа к Skype for Business.

26.01.2023

Исправление доступа к Autodesk Fusion 360.

29.12.2022

Обновлен черный список IP-адресов.

26.12.2022

Обновлен список адресов криптомайнеров.

13.12.2022

Блокировка источников ВПО уязвимости нулевого дня в продуктах Microsoft Exchange Server.

29.11.2022

Исправления доступа к ipinfo.io.

26.10.2022

Удалена отдельная категория правил Список НКЦКИ. Источник данных атакующих НКЦКИ остается в составе баз, являясь частью "Черного списка IP-адресов".

21.10.2022

Удалена группа Активные ботнеты. Актуальные угрозы блокируются с помощью "Черных списков IP-адресов".

PreviousПредотвращение вторжений NextПользовательские сигнатуры

Last updated 3 days ago

Was this helpful?