Як ShadowPlex виявив атаку Red Team, яку пропустили інші: реальний приклад

Як офіційний дистриб’ютор Acalvio Technologies, Softprom демонструє, як платформа ShadowPlex від Acalvio зіграла ключову роль у виявленні операції red team, яка обійшла традиційні засоби безпеки.

Мета: Непомітне захоплення прав адміністратора домену

Велике підприємство, що постійно стикається з кіберризиками, провело тестування red team із критичною метою: скомпрометувати обліковий запис адміністратора домену в Active Directory (AD). Red team використала отруєння Link Local Multicast Name Resolution (LLMNR) — поширену тактику «людина посередині» (MITM). За допомогою інструментів Responder.py або Inveigh.ps1 вони перехоплювали внутрішній трафік для збору облікових даних і підвищення привілеїв, зрештою отримавши повний контроль над AD. Ця техніка часто залишається непоміченою традиційними інструментами захисту. Чому?

Чому атаки MITM і отруєння LLMNR залишаються непоміченими

Отруєння LLMNR особливо небезпечне, оскільки використовує вбудований механізм Windows, який активується при збої DNS. Зловмисники перехоплюють широкомовний трафік і змушують системи надсилати їм облікові дані — без зламу паролів. Традиційні засоби EDR та журнали подій зазвичай не відстежують таку низькорівневу мережеву активність, особливо якщо вона надходить з уже скомпрометованого пристрою. У результаті red team може діяти безшумно, залишаючи захисників "сліпими" до бокового руху в мережі.

Прорив у захисті: Кіберобман з використанням ШІ

Усвідомивши прогалину в своїй системі виявлення, синя команда розгорнула платформу Acalvio ShadowPlex для впровадження безпеки на основі обману. Використовуючи ShadowPlex, вони посіяли в мережі підроблені LLMNR-повідомлення — спеціально створені для того, щоб заманити зловмисників. Це спрацювало. Щойно red team взаємодіяла з фальшивим трафіком, ShadowPlex надіслав миттєве сповіщення, що дозволило SOC-команді оперативно відреагувати — ще до завдання шкоди. Це стало переломним моментом: те, що було непомітним, стало точкою контролю.

Уроки: Технологія обману в дії

Цей кейс доводить важливий факт: навіть добре підготовлені команди безпеки можуть не помітити приховані методи атак. Завдяки ShadowPlex організація:

• Виявила рух зловмисників, що уникнув інших захистів
• Отримала ранні сигнали про спроби підвищення привілеїв
• Скоротила час на виявлення та реагування
• Підвищила ефективність SOC без додаткових витрат

Обман не замінив існуючі інструменти — він підсилив їх ефективність.

Наступний крок: Посильте кіберзахист із ShadowPlex

У Softprom ми допомагаємо організаціям виявляти те, що інші пропускають. Як офіційний дистриб’ютор Acalvio Technologies, ми можемо швидко й ефективно інтегрувати кіберобман на основі ШІ у вашу поточну інфраструктуру безпеки.

Зв’яжіться з Softprom вже сьогодні, щоб замовити демонстрацію ShadowPlex і дізнатися, як обман може закрити прогалини у вашому кіберзахисті.