T1018: Изучение удаленных систем
Злоумышленники могут попытаться получить список других систем по IP-адресу, имени узла или другим логическим идентификаторам в сети и использовать эти данные для дальнейшего перемещения в сети. Функциональные возможности для этого могут присутствовать в инструментах удаленного доступа, но могут использоваться и утилиты, доступные в операционной системе, например ping или net (команда net view).
Злоумышленники также могут анализировать данные из файлов локального хоста (например, C:\Windows\System32\Drivers\etc\hosts или /etc/hosts) или использовать другие пассивные средства (например, записи локального кэша ARP) для обнаружения удаленных систем в окружении.
Злоумышленники могут также использовать средства обнаружения сетевой инфраструктуры и команды интерпретатора командной строки сетевых устройств на сетевых устройствах для сбора подробной информации о системах в сети (например, show cdp neighbors, show arp).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
samba_active_directory_attacks: PT-CR-2955: SambaDC_Active_Directory_Data_Collection: Выполнены LDAP-запросы на сбор информации о домене с помощью утилиты AD Explorer, SharpHound, JXplorer или LDAP Administrator. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном samba_active_directory_attacks: PT-CR-2957: SambaDC_LDAP_Discovery: Пользователь выполнил подозрительные LDAP-запросы, которые указывают на возможную разведку в домене samba_active_directory_attacks: PT-CR-2956: SambaDC_Active_Directory_Snapshot: Создан снимок структуры службы каталогов на базе SambaDC, что может быть признаком разведки в инфраструктуре. Злоумышленник может использовать полученные данные для формирования вектора атаки и повышения привилегий freeipa: PT-CR-2144: FreeIPA_Suspicious_LDAP_Request: LDAP-запрос к чувствительному атрибуту в домене FreeIPA freeipa: PT-CR-2146: FreeIPA_Recon_Commands: В домене FreeIPA выполнены команды, использующиеся для разведки web_servers_abnormal_activity: PT-CR-638: Web_Searching_Non_Existent_Artifacts: Неудачная попытка получить артефакт работы службы apache_cassandra_database: PT-CR-2090: Apache_Cassandra_Structure_Discovery: Выполнена SQL-команда. Подобные команды могут выполняться злоумышленниками с целью разведки внутренней структуры базы данных Apache Cassandra microsoft_hyperv: PT-CR-2872: HyperV_VM_Enumeration: Получение списка виртуальных машин в Hyper-V с целью определить их имена и конфигурации pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound microsoft_mecm: PT-CR-1860: MECM_SharpSCCM: Использование утилиты SharpSCCM, предназначенной для поиска конфиденциальной информации о клиентах MECM microsoft_mecm: PT-CR-1855: MECM_Discovery_Via_LDAP: Выполнение LDAP-запроса для поиска информации о клиентах MECM в сети mitre_attck_discovery: PT-CR-2551: NetView_Recon: Попытка получить список компьютеров, доступных в текущем домене. Обычно для этого активный процесс загружает библиотеку browcli.dll на узле злоумышленника, после чего происходит подключение ко множеству различных узлов от имени учетной записи "anonymous logon". Подобная активность свойственна, например, BOF NetView для Cobalt Strike mitre_attck_discovery: PT-CR-1081: Domain_Dump_Tools_Via_LDAP: Из контроллера домена выгружена информация mitre_attck_discovery: PT-CR-321: Domain_Controllers_Discovery: Обнаружена попытка получить список контроллеров домена mitre_attck_discovery: PT-CR-76: Computer_Object_Ldap_Request: Выгрузка объектов типа "компьютер" из Active Directory mitre_attck_discovery: PT-CR-1083: Ldapdomaindump_Queries: Информация из Active Directory выгружена с помощью ldapdomaindump mitre_attck_discovery: PT-CR-3057: ADIDNS_Dump: Пользователь выполнил LDAP-запрос для получения DNS-записей, хранящихся в Active Directory. Это может быть попыткой злоумышленников собрать информацию об узлах сети mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях oracle_database: PT-CR-283: Oracle_Listener_Instance_Guessing: Потенциальная попытка подобрать экземпляр CУБД Oracle hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-1790: MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки hacking_tools: PT-CR-597: Sharphound_Server_Side: Возможное сканирование сети с помощью программы SharpHound или BloodHound unix_mitre_attck_discovery: PT-CR-1789: Unix_MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном active_directory_attacks: PT-CR-827: Active_Directory_Snapshot: Создан снимок структуры Active Directory, что может быть признаком разведки в инфраструктуре. Злоумышленник может использовать полученные данные для формирования вектора атаки и повышения привилегий active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительные LDAP-запросы, которые могут свидетельствовать о разведке в домене
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения списков других систем по IP-адресу, имени узла или другим логическим идентификаторам в сети и способствовать дальнейшему перемещению злоумышленников внутри периметра из текущей системы. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают. Для отслеживания команд, которые используются для подготовки к реализации техники Перехват сессии удаленного рабочего стола, рекомендуется включить регистрацию событий Windows PowerShell с идентификатором 4104 (выполнение сценария PowerShell), в которые записывается содержимое блоков сценариев PowerShell. Например, в блоке сценариев PowerShell может быть прописана следующая команда, позволяющая получить список подключенных к сети систем с RDP-доступом: |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений, с помощью которых злоумышленники могут попытаться получить список других систем по IP-адресу, имени узла или другим логическим идентификаторам в сети и использовать эти данные для перемещения внутри периметра из текущей системы. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки доступа к файлам (например, в В Windows событие с идентификатором 4663 (попытка получения доступа к объекту) можно использовать для уведомления о попытках доступа к файлам в локальной системе, в которых хранятся данные узла, включая C:\Windows\System32\Drivers\etc\hosts. В Linux с этой целью можно использовать механизмы аудита, такие как демон аудита (auditd). Файлы, в которых хранятся данные узла, расположены в том числе в /etc/hosts. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, таких как |
|---|