Техника на mitre.org

T1018: Изучение удаленных систем

Злоумышленники могут попытаться получить список других систем по IP-адресу, имени узла или другим логическим идентификаторам в сети и использовать эти данные для дальнейшего перемещения в сети. Функциональные возможности для этого могут присутствовать в инструментах удаленного доступа, но могут использоваться и утилиты, доступные в операционной системе, например ping или net (команда net view).

Злоумышленники также могут анализировать данные из файлов локального хоста (например, C:\Windows\System32\Drivers\etc\hosts или /etc/hosts) или использовать другие пассивные средства (например, записи локального кэша ARP) для обнаружения удаленных систем в окружении.

Злоумышленники могут также использовать средства обнаружения сетевой инфраструктуры и команды интерпретатора командной строки сетевых устройств на сетевых устройствах для сбора подробной информации о системах в сети (например, show cdp neighbors, show arp).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound web_servers_abnormal_activity: PT-CR-638: Web_Searching_Non_Existent_Artifacts: Неудачная попытка получить артефакт работы службы hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-1790: MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 unix_mitre_attck_discovery: PT-CR-1789: Unix_MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки apache_cassandra_database: PT-CR-2090: Apache_Cassandra_Structure_Discovery: Выполнена SQL-команда. Подобные команды могут выполняться злоумышленниками с целью разведки внутренней структуры базы данных Apache Cassandra oracle_database: PT-CR-283: Oracle_Listener_Instance_Guessing: Потенциальная попытка подобрать экземпляр CУБД Oracle mitre_attck_discovery: PT-CR-2551: NetView_Recon: Попытка получить список компьютеров, доступных в текущем домене. Обычно для этого активный процесс загружает библиотеку browcli.dll на узле злоумышленника, после чего происходит подключение ко множеству различных узлов от имени учетной записи "anonymous logon". Подобная активность свойственна, например, BOF NetView для Cobalt Strike mitre_attck_discovery: PT-CR-76: Computer_Object_Ldap_Request: Выгрузка объектов типа "компьютер" из Active Directory mitre_attck_discovery: PT-CR-321: Domain_Controllers_Discovery: Обнаружена попытка получить список контроллеров домена mitre_attck_discovery: PT-CR-1081: Domain_Dump_Tools_Via_LDAP: Из контроллера домена выгружена информация mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях mitre_attck_discovery: PT-CR-1083: Ldapdomaindump_Queries: Информация из Active Directory выгружена с помощью ldapdomaindump active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном active_directory_attacks: PT-CR-827: Active_Directory_Snapshot: Создан снимок структуры Active Directory, что может быть признаком разведки в инфраструктуре. Злоумышленник может использовать полученные данные для формирования вектора атаки и повышения привилегий active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительные LDAP-запросы, которые могут свидетельствовать о разведке в домене microsoft_mecm: PT-CR-1855: MECM_Discovery_Via_LDAP: Выполнение LDAP-запроса для поиска информации о клиентах MECM в сети microsoft_mecm: PT-CR-1860: MECM_SharpSCCM: Использование утилиты SharpSCCM, предназначенной для поиска конфиденциальной информации о клиентах MECM freeipa: PT-CR-2146: FreeIPA_Recon_Commands: В домене FreeIPA выполнены команды, использующиеся для разведки freeipa: PT-CR-2144: FreeIPA_Suspicious_LDAP_Request: LDAP-запрос к чувствительному атрибуту в домене FreeIPA microsoft_hyperv: PT-CR-2872: HyperV_VM_Enumeration: Получение списка виртуальных машин в Hyper-V с целью определить их имена и конфигурации

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения списков других систем по IP-адресу, имени узла или другим логическим идентификаторам в сети и способствовать дальнейшему перемещению злоумышленников внутри периметра из текущей системы. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают. Для отслеживания команд, которые используются для подготовки к реализации техники Перехват сессии удаленного рабочего стола, рекомендуется включить регистрацию событий Windows PowerShell с идентификатором 4104 (выполнение сценария PowerShell), в которые записывается содержимое блоков сценариев PowerShell. Например, в блоке сценариев PowerShell может быть прописана следующая команда, позволяющая получить список подключенных к сети систем с RDP-доступом: `Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" \| select -expand ComputerName`.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений, с помощью которых злоумышленники могут попытаться получить список других систем по IP-адресу, имени узла или другим логическим идентификаторам в сети и использовать эти данные для перемещения внутри периметра из текущей системы.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к файлам (например, в `/etc/hosts`), через которые злоумышленники могут попытаться получить список других систем по IP-адресу, имени узла или другим логическим идентификаторам в сети и использовать эти данные для дальнейшего перемещения в сети. В Windows событие с идентификатором 4663 (попытка получения доступа к объекту) можно использовать для уведомления о попытках доступа к файлам в локальной системе, в которых хранятся данные узла, включая C:\Windows\System32\Drivers\etc\hosts. В Linux с этой целью можно использовать механизмы аудита, такие как демон аудита (auditd). Файлы, в которых хранятся данные узла, расположены в том числе в /etc/hosts.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, таких как `ping.exe` и `tracert.exe`, которые могут использоваться для обнаружения удаленных систем; особенно подозрителен их последовательный запуск с небольшим интервалом.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения списков других систем по IP-адресу, имени узла или другим логическим идентификаторам в сети и способствовать дальнейшему перемещению злоумышленников внутри периметра из текущей системы. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают. Для отслеживания команд, которые используются для подготовки к реализации техники Перехват сессии удаленного рабочего стола, рекомендуется включить регистрацию событий Windows PowerShell с идентификатором 4104 (выполнение сценария PowerShell), в которые записывается содержимое блоков сценариев PowerShell. Например, в блоке сценариев PowerShell может быть прописана следующая команда, позволяющая получить список подключенных к сети систем с RDP-доступом: `Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" \| select -expand ComputerName`.
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений, с помощью которых злоумышленники могут попытаться получить список других систем по IP-адресу, имени узла или другим логическим идентификаторам в сети и использовать эти данные для перемещения внутри периметра из текущей системы.
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к файлам (например, в `/etc/hosts`), через которые злоумышленники могут попытаться получить список других систем по IP-адресу, имени узла или другим логическим идентификаторам в сети и использовать эти данные для дальнейшего перемещения в сети. В Windows событие с идентификатором 4663 (попытка получения доступа к объекту) можно использовать для уведомления о попытках доступа к файлам в локальной системе, в которых хранятся данные узла, включая C:\Windows\System32\Drivers\etc\hosts. В Linux с этой целью можно использовать механизмы аудита, такие как демон аудита (auditd). Файлы, в которых хранятся данные узла, расположены в том числе в /etc/hosts.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, таких как `ping.exe` и `tracert.exe`, которые могут использоваться для обнаружения удаленных систем; особенно подозрителен их последовательный запуск с небольшим интервалом.