Как ShadowPlex обнаружил атаку, которую другие пропустили: пример из реальной жизни

Как официальный дистрибьютор Acalvio Technologies, Softprom рассказывает, как платформа ShadowPlex от Acalvio сыграла ключевую роль в выявлении действий red team, которые обошли традиционные средства безопасности.

Цель: Незаметное захватывание прав администратора домена

Крупное предприятие, сталкивающееся с постоянными киберугрозами, инициировало работу red team с одной критически важной целью: скомпрометировать учётную запись администратора домена в Active Directory (AD). Red team использовала отравление Link Local Multicast Name Resolution (LLMNR), популярную тактику "человек посередине" (MITM). С помощью инструментов, таких как Responder.py или Inveigh.ps1, они перехватывали внутренний трафик для получения учётных данных и повышения привилегий, в конечном итоге получая полный контроль над AD. Эта незаметная техника часто ускользает от традиционной защиты. Почему?

Почему атаки MITM и отравление LLMNR остаются незамеченными

Отравление LLMNR особенно опасно, потому что использует встроенный механизм Windows, который активируется при сбое DNS-разрешения. Злоумышленники перехватывают широковещательный трафик и обманывают системы, заставляя их отправлять учётные данные — без перебора паролей. Традиционные инструменты обнаружения (EDR) и системы логирования часто не отслеживают такую низкоуровневую сетевую активность, особенно если она идёт с уже скомпрометированной машины. В результате red team может действовать незаметно, оставляя защитников "слепыми" к боковому перемещению в сети.

Прорыв в защите: Киберобман с ИИ

Осознав пробел в своём стеке обнаружения, синяя команда внедрила платформу Acalvio ShadowPlex, чтобы добавить элементы безопасности, основанные на обмане. С помощью ShadowPlex они распространили в сети поддельные LLMNR-сообщения — специально созданные, чтобы привлечь злоумышленников, сканирующих систему на уязвимости. Это сработало. Как только red team взаимодействовала с фальшивым трафиком, ShadowPlex немедленно отправила оповещение в режиме реального времени, позволив команде SOC оперативно отреагировать — до того, как был нанесён серьёзный ущерб. Это стало переломным моментом: ранее незаметная техника стала точкой контроля для защитников.

Извлечённые уроки: Технология обмана в действии

Этот случай доказывает важный факт: даже хорошо оснащённые команды безопасности могут упустить скрытые атаки, находящиеся вне зоны видимости стандартных инструментов. Используя ShadowPlex, организация:

• Выявила перемещения злоумышленников, которые обошли другие средства защиты
• Получила ранние сигналы о попытках повышения привилегий
• Сократила время на обнаружение и реагирование
• Повысила эффективность SOC без дополнительных затрат

Обман не заменил существующие инструменты — он усилил их эффективность.

Следующий шаг: Усильте киберзащиту с помощью ShadowPlex

В Softprom мы помогаем организациям выявлять то, что другие пропускают. Как официальный дистрибьютор Acalvio Technologies, мы поможем вам быстро и эффективно внедрить киберобман с ИИ в вашу текущую инфраструктуру безопасности.

Свяжитесь с Softprom сегодня, чтобы запланировать демонстрацию ShadowPlex и узнать, как обман может закрыть уязвимости в вашей системе киберзащиты.