Техника на mitre.org

T1021: Службы удаленного доступа

Злоумышленники могут использовать существующие учетные записи для входа в службу, поддерживающую удаленные подключения, например telnet, SSH или VNC. После этого злоумышленники могут выполнять действия от имени вошедшего в систему пользователя.

В корпоративной среде серверы и рабочие станции могут быть организованы в домены. Домены обеспечивают централизованное управление идентификацией, позволяя пользователям выполнять вход в пределах всей сети с помощью одного набора учетных данных. Если злоумышленникам удастся получить набор действующих учетных данных домена, они смогут подключиться к различным компьютерам, используя протоколы удаленного доступа, такие как Secure Shell (SSH) или протокол удаленного рабочего стола (RDP). Они также могут входить в доступные службы SaaS (software as a service) или IaaS (infrastructure as a service), например те, которые связывают их удостоверения пользователей с доменом.

Легитимные приложения (такие как средства развертывания ПО и другие программы администрирования) могут использовать службы удаленного доступа для доступа к удаленным хостам. Например, Apple Remote Desktop (ARD) в macOS — это нативное программное обеспечение, используемое для удаленного управления. ARD использует несколько протоколов, включая VNC для передачи содержимого экрана и буферов управления и SSH для безопасной передачи файлов. Злоумышленники могут использовать такие приложения, как ARD, для удаленного выполнения кода и перемещения внутри периметра сети. В версиях macOS до 10.14 злоумышленник может запустить сеанс ARD из сеанса SSH, чтобы получить возможность принимать запросы TCC (Transparency, Consent, and Control) без участия пользователя и получать доступ к данным.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mongo_database: PT-CR-524: MongoDB_Connect_Through_Pentest_OS: Подключение к базе данных с операционной системы, предназначенной для тестов на проникновение remote_work: PT-CR-1057: VPN_User_Abnormal_Access: Подозрительный вход на внутренние ресурсы. Пользователь вошел с адреса, принадлежащего другому пользователю, либо данные аутентификации отличаются от собранного профиля it_bastion: PT-CR-2179: SKDPUNT_Multiple_Access_Attempts: Множественные попытки доступа к системе it_bastion: PT-CR-2176: SKDPUNT_Session_From_Different_Subnet: Сеанс пользователя из другой подсети sap_suspicious_user_activity: PT-CR-241: SAPASABAP_GW_Call_Not_Allowed_Monitor_Command: Запрет запуска команды монитора SAP Gateway profiling: PT-CR-1063: Wifi_Abnormal_Access: Подозрительное подключение к оборудованию Wi-Fi. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1782: PT_IAM_Abnormal_Access: Подозрительный вход в приложение Positive Technologies через систему IAM. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2519: Infowatch_TM_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2337: PostgreSQL_Abnormal_Access: Подозрительный вход в СУБД PostgreSQL. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2456: FreeIPA_Abnormal_Access: Подозрительная аутентификация в домене FreeIPA. Данные аутентификации отличаются от ранее собранного профиля profiling: PT-CR-228: Domain_Controller_Abnormal_Access: Подозрительный вход на контроллер домена. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1051: KSC_Console_Abnormal_Access: Подозрительный вход в консоль Kaspersky Security Center. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2388: Arista_EOS_Abnormal_Access: Подозрительное подключение к оборудованию Arista. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1788: Keycloak_Abnormal_Access: Подозрительный вход с помощью Keycloak. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1040: Release_Build_Agent_Abnormal_Access: Подозрительный вход на сервер сборочных агентов. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1808: Passwork_Abnormal_Access: Подозрительный вход в приложение Passwork. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1792: ADFS_Abnormal_Access: Подозрительный вход с помощью службы федерации Active Directory (AD FS). Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2580: Citrix_NS_ADC_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1061: Cisco_Abnormal_Access: Подозрительное подключение к оборудованию Cisco. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1382: Checkpoint_Abnormal_Access: Подозрительное подключение к оборудованию Check Point. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1791: Application_Abnormal_Access: Подозрительный вход в приложение, для которого нет отдельных правил профилирования. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1041: Teamcity_Abnormal_Access: Подозрительный вход в приложение TeamCity. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2059: Zabbix_Abnormal_Access: Подозрительный вход в систему Zabbix. Данные аутентификации отличаются от ранее собранного профиля profiling: PT-CR-1920: PTAF_Abnormal_Access: Подозрительный вход в приложение PT AF. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1059: VCenter_Abnormal_Access: Подозрительный вход в приложение vCenter. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1062: Fortigate_Abnormal_Access: Подозрительное подключение к оборудованию FortiGate. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1871: MECM_Abnormal_Access: Подозрительный вход с помощью Microsoft Endpoint Configuration Manager. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1810: Critical_Server_Abnormal_Access: Подозрительный вход на критически важный сервер. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1054: Subrule_Teampass_Login_Successful: Вход в приложение TeamPass profiling: PT-CR-1052: Antivirus_Server_Abnormal_Access: Подозрительный вход на сервер антивирусной защиты. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1811: Teamcity_Abnormal_BuildConfig_Modify: Подозрительный вход и изменение конфигурации сборки в TeamCity. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1034: App_1C_Enterprise_Abnormal_Access: Подозрительный вход в приложение "1С:Предприятие". Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1045: VCS_Server_Abnormal_Access: Подозрительный вход в систему контроля версий. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1050: Subrule_Windows_Host_Abnormal_Access: Подозрительный вход на критически важный узел. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1809: Gitlab_Abnormal_Access: Подозрительный вход в приложение GitLab. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1035: App_1C_User_PC_Abnormal_Access: Подозрительный вход на узел, на котором выполняется работа с приложением 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1037: UsWeb_Abnormal_Access: Подозрительный вход в веб-интерфейс сервера обновлений. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1785: Teampass_Abnormal_Access: Подозрительный вход в приложение TeamPass. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1784: MSSQL_Abnormal_Access: Подозрительный вход в приложение Microsoft SQL Server. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1793: Confluence_Abnormal_Access: Подозрительный вход в приложение Confluence. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1812: App_1C_Server_Abnormal_Access: Подозрительный вход на сервер 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2325: Grafana_Abnormal_Access: Подозрительный вход в Grafana. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1070: Top_Managers_Abnormal_Access: Подозрительный вход на рабочую станцию руководителя организации. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1044: Developer_PC_Abnormal_Access: Подозрительный вход на компьютер разработчика. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-2137: Hashicorp_Vault_Abnormal_Access: Подозрительный вход в систему Vault. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-218: SecurityAdmin_Abnormal_Access: Подозрительный вход администратора безопасности. Данные аутентификации отличаются от собранного профиля

Подтехники

Способы обнаружения

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте COM-объекты, загружающие DLL и другие модулей, не связанные с приложением. Примечание. Для мониторинга загрузки подозрительных DLL-библиотек модулем запуска процессов DCOM-сервера, запущенным через svchost.exe, можно отслеживать события Sysmon с ИД 7 (загрузка образа). При отслеживании этого события может генерироваться большое количество ложных срабатываний, поэтому рекомендуется отфильтровывать загрузки известных безопасных модулей процессом svchost.exe, которые выполняются в рамках штатных операций.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте недавно созданные сетевые соединения, в которых могут использоваться существующие учетные записи для взаимодействия с удаленными компьютерами с помощью распределенной COM-модели (DCOM). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя. Отслеживайте любые, особенно аномальные, увеличения объема трафика распределительной вычислительной среды / удаленного вызова процедур (DCE/RPC), связанного с DCOM (обычно через порт 135). Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомления о поведении потока RPC. Трафик в RPC Endpoint Mapper всегда направляется к порту 135. При успешном прохождении порта трафик проследует к конечному устройству. Конечное устройство и клиент привязаны к динамически назначаемым портам (в Windows их значение обычно превышает 49152). Трафик между клиентом и конечным устройством можно обнаружить, отслеживая трафик к порту 135, а затем выделяя трафик, для которого значения портов источника и назначения превышают 49152.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте в сетевых данных необычные потоки данных SMB. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых потоках SMB. Примечания: Логика Реализации 1 основывается на обнаружении в протоколе SMB запросов на запись, которые часто используются злоумышленниками для перемещения на другой узел. В отличие от запросов на чтение в SMB, запросы на запись обычно требуют дополнительного уровня доступа, поэтому они встречаются реже. Фокусирование на операциях записи SMB позволяет сузить область поиска и отслеживать техники, связанные с активным внесением изменений в удаленные узлы, а не с пассивным чтением файлов. Логика Реализации 2 основывается на обнаружении новых процессов, которые были созданы из файлов, записанных на SMB-ресурс. Сначала файл удаленно записывается на узел через SMB-ресурс, после чего могут использоваться различные техники удаленного запуска этого файла или сценария. Чтобы обнаружить такое поведение, отслеживайте файлы, которые записываются на узел через SMB, а затем запускаются непосредственно как процесс или через аргументы командной строки. Запись файлов SMB и удаленное выполнение могут быть обычным явлением в рабочей среде, но сочетание этих двух типов активности встречается реже и с большей вероятностью указывает на действия злоумышленников. Анализ 1. Запись SMB `source="*Zeek:SMB_Files" port="445" AND protocol="smb.write"`

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, связанных с операциями DCOM; особенно подозрительны процессы, запущенные не вошедшим в систему пользователем. Получение списков COM-объектов с помощью таких техник, как Запросы к реестру или PowerShell, также может предшествовать вредоносной активности. Злоумышленники могут воспользоваться консолью управления Microsoft (MMC) для запуска произвольных процессов посредством DCOM. При использовании этого метода типичное дерево процессов выглядит так: svchost.exe —> mmc.exe —> <произвольный_процесс>.exe. Поэтому необходимо отслеживать события создания процессов mmc.exe с аргументом командной строки -Embedding, а также подозрительные дочерние процессы, которые могут использоваться в злонамеренных целях, такие как cmd.exe, reg.exe и т. п. Вместо консоли управления Microsoft для выполнения процессов посредством DCOM также может применяться Excel. В этом случае типичное дерево процессов выглядит так: svchost.exe —> excel.exe —> <произвольный_процесс>.exe. Отслеживайте события создания процессов excel.exe с аргументом командной строки /automation -Embedding, а также подозрительные дочерние процессы, которые могут использоваться в злонамеренных целях, такие как cmd.exe, reg.exe и т. п.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для подключения к удаленным общим ресурсам, например Net, через командную строку, а также применение техник изучения для поиска систем с удаленным доступом. Примечание. При запуске блоков сценариев PowerShell в журнале "Microsoft-Windows-Powershell/Operational" генерируется событие с ИД 4104, в которое записывается содержимое этих блоков; при анализе этих событий можно обнаружить установленные подключения и события записи в удаленных каталогах.

ID	DS0033	Источник и компонент данных	Сетевая папка: Доступ к сетевой папке	Описание	Отслеживайте взаимодействие с сетевыми папками (например, чтение или передачу файлов) по протоколу Server Message Block (SMB).

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте события сетевых сеансов в журналах облачного аудита и узла. Они хранятся в CloudTrail, едином журнале аудита, журналах событий Windows и в `/var/log/auth.log` или `/var/log/secure` в системах Linux.

ID	DS0005	Источник и компонент данных	Инструментарий управления Windows (WMI): Создание WMI	Описание	Отслеживайте создание объектов WMI, которые часто используются для входа в службу, поддерживающую удаленные подключения.

ID	Источник и компонент данных	Описание
DS0011	Модуль: Загрузка модуля	Отслеживайте COM-объекты, загружающие DLL и другие модулей, не связанные с приложением. Примечание. Для мониторинга загрузки подозрительных DLL-библиотек модулем запуска процессов DCOM-сервера, запущенным через svchost.exe, можно отслеживать события Sysmon с ИД 7 (загрузка образа). При отслеживании этого события может генерироваться большое количество ложных срабатываний, поэтому рекомендуется отфильтровывать загрузки известных безопасных модулей процессом svchost.exe, которые выполняются в рамках штатных операций.
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте недавно созданные сетевые соединения, в которых могут использоваться существующие учетные записи для взаимодействия с удаленными компьютерами с помощью распределенной COM-модели (DCOM). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя. Отслеживайте любые, особенно аномальные, увеличения объема трафика распределительной вычислительной среды / удаленного вызова процедур (DCE/RPC), связанного с DCOM (обычно через порт 135). Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомления о поведении потока RPC. Трафик в RPC Endpoint Mapper всегда направляется к порту 135. При успешном прохождении порта трафик проследует к конечному устройству. Конечное устройство и клиент привязаны к динамически назначаемым портам (в Windows их значение обычно превышает 49152). Трафик между клиентом и конечным устройством можно обнаружить, отслеживая трафик к порту 135, а затем выделяя трафик, для которого значения портов источника и назначения превышают 49152.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте в сетевых данных необычные потоки данных SMB. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых потоках SMB. Примечания: Логика Реализации 1 основывается на обнаружении в протоколе SMB запросов на запись, которые часто используются злоумышленниками для перемещения на другой узел. В отличие от запросов на чтение в SMB, запросы на запись обычно требуют дополнительного уровня доступа, поэтому они встречаются реже. Фокусирование на операциях записи SMB позволяет сузить область поиска и отслеживать техники, связанные с активным внесением изменений в удаленные узлы, а не с пассивным чтением файлов. Логика Реализации 2 основывается на обнаружении новых процессов, которые были созданы из файлов, записанных на SMB-ресурс. Сначала файл удаленно записывается на узел через SMB-ресурс, после чего могут использоваться различные техники удаленного запуска этого файла или сценария. Чтобы обнаружить такое поведение, отслеживайте файлы, которые записываются на узел через SMB, а затем запускаются непосредственно как процесс или через аргументы командной строки. Запись файлов SMB и удаленное выполнение могут быть обычным явлением в рабочей среде, но сочетание этих двух типов активности встречается реже и с большей вероятностью указывает на действия злоумышленников. Анализ 1. Запись SMB `source="*Zeek:SMB_Files" port="445" AND protocol="smb.write"`
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, связанных с операциями DCOM; особенно подозрительны процессы, запущенные не вошедшим в систему пользователем. Получение списков COM-объектов с помощью таких техник, как Запросы к реестру или PowerShell, также может предшествовать вредоносной активности. Злоумышленники могут воспользоваться консолью управления Microsoft (MMC) для запуска произвольных процессов посредством DCOM. При использовании этого метода типичное дерево процессов выглядит так: svchost.exe —> mmc.exe —> <произвольный_процесс>.exe. Поэтому необходимо отслеживать события создания процессов mmc.exe с аргументом командной строки -Embedding, а также подозрительные дочерние процессы, которые могут использоваться в злонамеренных целях, такие как cmd.exe, reg.exe и т. п. Вместо консоли управления Microsoft для выполнения процессов посредством DCOM также может применяться Excel. В этом случае типичное дерево процессов выглядит так: svchost.exe —> excel.exe —> <произвольный_процесс>.exe. Отслеживайте события создания процессов excel.exe с аргументом командной строки /automation -Embedding, а также подозрительные дочерние процессы, которые могут использоваться в злонамеренных целях, такие как cmd.exe, reg.exe и т. п.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для подключения к удаленным общим ресурсам, например Net, через командную строку, а также применение техник изучения для поиска систем с удаленным доступом. Примечание. При запуске блоков сценариев PowerShell в журнале "Microsoft-Windows-Powershell/Operational" генерируется событие с ИД 4104, в которое записывается содержимое этих блоков; при анализе этих событий можно обнаружить установленные подключения и события записи в удаленных каталогах.
DS0033	Сетевая папка: Доступ к сетевой папке	Отслеживайте взаимодействие с сетевыми папками (например, чтение или передачу файлов) по протоколу Server Message Block (SMB).
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте события сетевых сеансов в журналах облачного аудита и узла. Они хранятся в CloudTrail, едином журнале аудита, журналах событий Windows и в `/var/log/auth.log` или `/var/log/secure` в системах Linux.
DS0005	Инструментарий управления Windows (WMI): Создание WMI	Отслеживайте создание объектов WMI, которые часто используются для входа в службу, поддерживающую удаленные подключения.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте круг учетных записей, которые могут пользоваться службами удаленного доступа. Ограничьте разрешения учетных записей с повышенным риском взлома. Например, настройте SSH-подключение так, чтобы пользователи могли запускать только выбранные программы.

ID	M1027	Название	Парольные политики	Описание	Не используйте пароли учетных записей локальных администраторов в разных системах. Обеспечьте сложность и уникальность паролей, чтобы их нельзя было взломать или угадать.

ID	M1032	Название	Многофакторная аутентификация	Описание	По возможности используйте многофакторную аутентификацию в облачных сервисах.

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	По возможности отключите административные ресурсы Windows.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	По возможности отключите DCOM с помощью Dcomcnfg.exe.

ID	M1047	Название	Аудит	Описание	Проводите аудит или проверки безопасности систем, разрешений, ПО и конфигураций для выявления потенциальных недостатков.

ID	Название	Описание
M1018	Управление учетными записями	Ограничьте круг учетных записей, которые могут пользоваться службами удаленного доступа. Ограничьте разрешения учетных записей с повышенным риском взлома. Например, настройте SSH-подключение так, чтобы пользователи могли запускать только выбранные программы.
M1027	Парольные политики	Не используйте пароли учетных записей локальных администраторов в разных системах. Обеспечьте сложность и уникальность паролей, чтобы их нельзя было взломать или угадать.
M1032	Многофакторная аутентификация	По возможности используйте многофакторную аутентификацию в облачных сервисах.
M1035	Ограничение доступа к ресурсам по сети	По возможности отключите административные ресурсы Windows.
M1042	Отключение или удаление компонента или программы	По возможности отключите DCOM с помощью Dcomcnfg.exe.
M1047	Аудит	Проводите аудит или проверки безопасности систем, разрешений, ПО и конфигураций для выявления потенциальных недостатков.