SecureExec
ГлавнаяО насБлогЦены
ВойтиРегистрация

Встроенные правила детекции

21 готовое к production правило, срабатывающее на реальные угрозы — минимум ложных срабатываний с учётом контекста процессов. Исходный код доступен.

Ransomware

критический

Алерт на создание ransom note, переименование файлов в encrypted-расширения (LockBit, Akira, Cl0p и 30+ других), массовое переименование и команды уничтожения бэкапов.

Подробнее →

Повышение до root

высокий

Детект смены UID на root из не-root процессов через setuid/setreuid, с исключением известных privilege-separation бинарников (например, sshd).

Подробнее →

Загрузка kernel module

высокий

Алерт на загрузку модулей ядра процессами, кроме известных инструментов (insmod, modprobe, kmod).

Reverse Shell

высокий

Ловит shell-процессы (bash, sh, zsh, dash, ksh), устанавливающие исходящие сетевые соединения — техника #1 пост-эксплуатации.

Подробнее →

Fileless-выполнение (memfd_create)

высокий

Детект использования memfd_create — основного вектора fileless malware, выполняемого полностью из памяти.

Подробнее →

Process Injection

высокий

Детект кросс-процессной записи в память через process_vm_writev — используется инструментами инъекции для записи shellcode.

Подробнее →

Изменение чувствительных файлов

высокий

Алерт на запись в /etc/passwd, /etc/shadow, /etc/hosts, /etc/ld.so.preload и другие файлы, которые атакующие изменяют для закрепления или эскалации привилегий.

Подробнее →

Закрепление через cron

высокий

Алерт на создание cron-задач в /etc/cron.* и /var/spool/cron/ не-системными процессами.

Изменение SSH Authorized Keys

высокий

Алерт на запись в любой файл .ssh/authorized_keys процессами, кроме ssh-copy-id.

Изменение sudoers

высокий

Детект записи в /etc/sudoers или /etc/sudoers.d/ процессами, кроме visudo.

Закрепление через systemd

высокий

Алерт при создании нового .service-файла в /etc/systemd/system/ неожиданным процессом.

SSH-успех после неудач

высокий

Алерт на успешный SSH-вход после 3+ неудачных попыток с того же IP в течение 10 минут.

LD_PRELOAD инъекция

высокий

Детект процессов, запущенных с непустой переменной LD_PRELOAD — распространённая техника перехвата системных вызовов.

Побег из контейнера

высокий

Флагирует подозрительные вызовы unshare/setns с флагами user, PID или mount namespace от неожиданных процессов.

Подробнее →

Криптомайнер

высокий

Детектирует имена процессов майнеров, stratum-паттерны в командных строках, порты майнинг-пулов и DNS-запросы к известным пулам.

Подробнее →

Отключение auditd

средний

Детектирует команды остановки или отключения auditd — типичный шаг атакующего для снижения покрытия детекции.

Отключение SELinux

средний

Алерт на setenforce 0 или запись permissive/disabled режима в /etc/selinux/config.

Подозрительный sudo

средний

Флагирует sudo-вызовы для установки SUID-битов, chmod 777 или записи в чувствительные системные пути.

Закрепление через udev rules

средний

Флагирует новые или изменённые файлы udev rules, записанные процессами, кроме udevadm или известных пакетных менеджеров.

SSH Brute-Force

средний

Stateful-детекция повторных SSH-ошибок с одного IP во временном окне, с cooldown для предотвращения флуда алертов.

Подробнее →

Подозрительное исходящее соединение

средний

Алерт, когда не-сетевые процессы устанавливают исходящие соединения на известные сервисные порты (22, 25, 53, 80, 443, 3306, 5432).

Хотите увидеть, как эти правила срабатывают на реальном Linux-хосте?

SecureExec

Лёгкая платформа безопасности конечных точек. Мониторинг процессов, файлов и сетевой активности в режиме реального времени по всему вашему парку устройств.

Продукт
  • Цены
Компания
  • О нас
  • Блог
  • Связаться с отделом продаж
  • Поддержка
Аккаунт
  • Войти
  • Регистрация
Правовая информация
  • Политика конфиденциальности
  • Условия использования

© 2026 SecureExec. Все права защищены.

Built with Rust & Next.js