«Oracle Solaris — это Unix-подобная операционная система, которую крупные компании часто используют для развертывания автоматизированных систем управления процессами, базами данных, например Oracle Database, и веб-серверами, — комментирует Евгений Полонский, специалист отдела безопасности систем семейства Unix Positive Technologies. — Заполучив доступ к системе с Oracle Solaris, злоумышленники смогут управлять ею, даже отключить или повредить, а также скомпрометировать данные».
Чтобы помочь компаниям обеспечить безопасность систем, развернутых на Oracle Solaris, эксперты Positive Technologies разработали способы обнаружения популярных угроз. Они объединены в единый пакет экспертизы. Правила в его составе обнаруживают применение нескольких техник из матрицы MITRE ATT&CK, которые используются злоумышленниками для закрепления (persistence), разведки (discovery) и взаимодействия с командным центром (command and control). Так, пользователи MaxPatrol SIEM теперь могут выявить:
- запуск средств удаленного подключения reverse shell и bind shell, которые используются злоумышленниками для управления целевой системой;
- активность утилит и автоматических скриптов, запущенных от имени учетных записей веб-сервера, которые атакующие могут применять для получения информации о скомпрометированной системе и ее сетевом окружении на этапе разведки;
- запуск службы или клиента для установки скрытого канала связи или сетевого сканирования;
- активность утилит, которые злоумышленники используют для создания туннелированных соединений (они нужны злоумышленникам для создания канала связи со скомпрометированным узлом).
https://www.ptsecurity.com/ru-ru/about/news/maxpatrol-siem-vyyavlyaet-ataki-na-oracle-solaris-iz-korobki/