Техника на mitre.org

T1021.002: Общие SMB- и административные ресурсы Windows

Злоумышленники могут использовать существующие учетные записи для взаимодействия с удаленным сетевым ресурсом по протоколу Server Message Block (SMB). После этого злоумышленники могут выполнять действия от имени вошедшего в систему пользователя.

SMB — это протокол общего доступа к файлам, принтерам и последовательным портам для компьютеров на базе Windows, находящихся в одной сети или одном домене. Злоумышленники могут использовать SMB для взаимодействия с общими файловыми ресурсами, чтобы перемещаться по сети. В Linux и macOS для реализации SMB обычно используется Samba.

В Windows-системах есть скрытые общие сетевые ресурсы, которые доступны только администраторам и позволяют удаленно копировать файлы, а также выполнять другие административные функции. Примерами таких общих сетевых ресурсов могут служить C$, ADMIN$ и IPC$. Злоумышленники могут применять эту технику, используя существующие учетные записи администраторского уровня для удаленного доступа к системе в сети через SMB и взаимодействия с этими системами с помощью удаленного вызова процедур (RPC), передачи файлов и запуска переданных бинарных файлов через функцию удаленного запуска. В качестве примеров техник запуска, использующих аутентифицированные сеансы SMB/RPC, можно привести применение запланированной задачи (задания), диспетчера управления службами (SCM) и инструментария управления Windows. Злоумышленники также могут использовать хеши NTLM для доступа к общим административным ресурсам в системах с передачей хеша (Pass the Hash) и определенными конфигурацией и уровнем исправлений.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

remote_work: PT-CR-1937: SMB_RPC_Internet_Connection: Сетевое взаимодействие с интернет-источником по SMB или RPC, которое злоумышленник может использовать для первоначального доступа mitre_attck_execution: PT-CR-2497: Subrule_Suspicious_RPC_Server: Успешное подключение к RPC-серверу mitre_attck_execution: PT-CR-2119: Suspicious_RPC_Server: Возможное подключение к RPC-серверу Mimikatz. Злоумышленники могут подключиться к RPC-серверу Mimikatz на компьютере жертвы для удаленного выполнения команд с помощью инструмента mimikatz.py из набора Impacket mitre_attck_discovery: PT-CR-2547: Subrule_LocalGroupListMembers: Перечисление членов локальной группы безопасности с удаленного узла mitre_attck_discovery: PT-CR-2151: Subrule_Net_Share_Access: Получен доступ к объекту сетевого каталога. Злоумышленники могут использовать объекты сетевого каталога для горизонтального перемещения mitre_attck_discovery: PT-CR-2150: Net_Tool_Usage: Использована утилита NET. Злоумышленники могут использовать утилиту NET с параметром "use" для проведения сетевой разведки, подключения к общим сетевым ресурсам, проверки актуальности учетных данных и горизонтального перемещения mitre_attck_discovery: PT-CR-2548: LocalGroupListMembers_From_Remote_Host: Перечисление членов локальной группы безопасности с удаленного узла unix_mitre_attck_command_and_control: PT-CR-1700: Unix_Proxy_Forwarding: Возможное туннелирование трафика с Unix-узла на Windows-узел unix_mitre_attck_lateral_movement: PT-CR-1698: Subrule_Unix_PortForwarding: Возможное туннелирование трафика mitre_attck_cred_access: PT-CR-2493: Subrule_Access_To_Protected_Storage_Share: Злоумышленники могут подключаться к сетевому ресурсу protected_storage, чтобы выполнить действия с зашифрованными данными пользователя с помощью интерфейса DPAPI mitre_attck_cred_access: PT-CR-917: Subrule_Shares_For_DragonCastle: Обнаружены последовательные подключения к сетевым ресурсам mitre_attck_lateral_movement: PT-CR-211: Remote_Code_Execution_Via_AtSvc: Удаленное создание запланированной задачи Windows с помощью AtSvc mitre_attck_lateral_movement: PT-CR-226: Remoting_Impacket_PsExec: Обнаружено удаленное выполнение кода с помощью PsExec из набора Impacket mitre_attck_lateral_movement: PT-CR-1754: Subrule_Windows_Remote_Logon_With_Explicit_Credentials: Сетевой вход с использованием явно указанных учетных данных mitre_attck_lateral_movement: PT-CR-215: Remoting_WinExec: Обнаружено использование утилиты WinExec (Kali) для удаленного выполнения команд mitre_attck_lateral_movement: PT-CR-1374: Impacket_Like_Execution: Паттерны выполнения сценариев, созданных на основе инструмента Impacket mitre_attck_lateral_movement: PT-CR-1370: Remote_Execution_Via_Custom_Impacket: Перемещение внутри периметра с помощью исполнения кода через протокол SMB (с помощью утилиты, созданной на основе инструмента Impacket) mitre_attck_lateral_movement: PT-CR-589: Remoting_SysInternals_PsExec: Обнаружено удаленное выполнение кода с помощью PsExec из набора Sysinternals Suite mitre_attck_lateral_movement: PT-CR-785: Modify_And_Start_Remote_Service: Обнаружена попытка выполнения кода или горизонтального перемещения путем изменения команды запуска системных служб mitre_attck_lateral_movement: PT-CR-784: Auth_Coerce_With_WebClient_Abuse: Обнаружено использование техник PetitPotam или PrinterBug, реализуемых с помощью службы WebClient, для принудительной авторизации на атакующем узле по протоколу HTTP (порт 80) mitre_attck_lateral_movement: PT-CR-229: Remote_Admin_Share_Access: Обнаружен доступ к сетевым ресурсам (диски$ или admin$) компьютера mitre_attck_lateral_movement: PT-CR-1697: Subrule_Windows_Logon: Подключение или попытка подключения по протоколу SMB или RDP profiling: PT-CR-228: Domain_Controller_Abnormal_Access: Подозрительный вход на контроллер домена. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1040: Release_Build_Agent_Abnormal_Access: Подозрительный вход на сервер сборочных агентов. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1042: Update_Server_Abnormal_Access: Подозрительный вход на сервер обновлений (FLUS/GUS). Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1810: Critical_Server_Abnormal_Access: Подозрительный вход на критически важный сервер. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1052: Antivirus_Server_Abnormal_Access: Подозрительный вход на сервер антивирусной защиты. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1045: VCS_Server_Abnormal_Access: Подозрительный вход в систему контроля версий. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1035: App_1C_User_PC_Abnormal_Access: Подозрительный вход на узел, на котором выполняется работа с приложением 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1812: App_1C_Server_Abnormal_Access: Подозрительный вход на сервер 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1070: Top_Managers_Abnormal_Access: Подозрительный вход на рабочую станцию руководителя организации. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1044: Developer_PC_Abnormal_Access: Подозрительный вход на компьютер разработчика. Данные аутентификации отличаются от собранного профиля hacking_tools: PT-CR-1356: Sliver_PsExec: Запуск модуля Sliver PsExec из С2 фреймворка Sliver hacking_tools: PT-CR-752: Cobalt_Strike_Psexec_Jump: Перемещение внутри периметра с помощью утилиты PSexec для Cobalt Strike hacking_tools: PT-CR-202: Impacket_SMBEXEC: Обнаружено использование инструмента SMBExec из набора Impacket для выполнения кода в системе hacking_tools: PT-CR-754: Cobalt_Strike_Service_Move: Использована техника BOF (ServiceMove) для Cobalt Strike hacking_tools: PT-CR-350: Cobalt_Strike_SMB_Beacon: Создан или присоединен именованный канал, характерный для программного обеспечения Cobalt Strike hacking_tools: PT-CR-748: Cobalt_Strike_Payload_Delivery_Check: Множественные попытки проверки доставки полезной нагрузки с помощью программного обеспечения Cobalt Strike hacking_tools: PT-CR-2632: Subrule_Cobalt_Strike_Service_Creation: Создана служба с указанием сетевого пути к исполняемому файлу для перемещения внутри периметра или повышения привилегий с помощью Cobalt Strike hacking_tools: PT-CR-1838: NimExec_Activity: Активность инструмента NimExec, использующегося для удаленного выполнения команд

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте в сетевых данных необычные потоки данных SMB. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых потоках SMB. Примечания: Логика реализации 1 основывается на обнаружении в протоколе SMB запросов на запись, которые часто используются злоумышленниками для перемещения на другой узел. В отличие от запросов на чтение в SMB, запросы на запись обычно требуют дополнительного уровня доступа, поэтому они встречаются реже. Фокусирование на операциях записи SMB позволяет сузить область поиска и отслеживать техники, связанные с активным внесением изменений в удаленные узлы, а не с пассивным чтением файлов. Логика реализации 2 основывается на обнаружении новых процессов, которые были созданы из файлов, сохраненных на SMB-ресурс. Сначала файл удаленно записывается на узел через SMB-ресурс, после чего могут использоваться различные техники удаленного запуска этого файла или сценария. Чтобы обнаружить такое поведение, отслеживайте файлы, которые записываются на узел через SMB, а затем запускаются непосредственно как процесс или через аргументы командной строки. Запись файлов SMB и удаленное выполнение могут быть обычным явлением в рабочей среде, но сочетание этих двух типов активности встречается реже и с большей вероятностью указывает на действия злоумышленников. Аналитика 1. Запись SMB `source="*Zeek:SMB_Files" port="445" AND protocol="smb.write"`

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений (обычно через порты 139 или 445), особенно с аномальными или недоверенными узлами. Сопоставляйте данные о соединениях с событиями удаленного входа и активностью, связанной с SMB, например передачей файлов и удаленным выполнением процессов. Примечание. Идентификатор события рассчитан на Zeek, но его можно реализовать и в других фреймворках посредством анализа и декодирования сохраненного трафика SMB2. Лучше отслеживать событие smb2_write_response, а не smb2_write_request, так как это подтвердит, что запись файла была действительно выполнена на удаленный сервер. К сожалению, в Bro/Zeek на данный момент нет события для такого типа сообщений SMB. Важно захватить именно тот сетевой трафик, который требуется для работы данного типа обнаружения (например, между конечными устройствами, или от рабочей станции до сервера, или между рабочими станциями). В таком случае полезно создать централизованную часть сервера для отслеживания соединений между серверами и конечными устройствами. Аналитики 1 и 2 похожи, но основное отличие второй версии заключается в том, что она предназначена для обнаружения нескольких попыток перемещения внутри периметра между узлами за короткий промежуток времени (5 минут). Отслеживаются события smb2_write_request и smb1_write_andx_response, указывающие на то, что файл SMB записан в общие административные папки Windows: ADMIN$ или C$. Отслеживаются события smb2_tree_connect_request и smb1_tree_connect_andx_request, исходящие с одного узла, независимо от попыток записи и успешности соединения (фиксируются только сами попытки) в течение указанного времени, если события повторяются хотя бы 5 раз за 5 минут с одного src_ip. Важно захватить именно тот сетевой трафик, который требуется для работы данного типа обнаружения (например, между конечными устройствами, или от рабочей станции до сервера, или между рабочими станциями). С учетом этого может быть полезно иметь централизованную часть сервера, в которой можно было бы отслеживать соединения между серверами и конечными устройствами. С помощью диспетчера управления службами (SCM) файл может быть скопирован в общую папку ADMIN$ и выполнен как служба. Данные действия можно отследить путем обнаружения входящих сетевых соединений RPC с диспетчером управления службами, вслед за которыми services.exe создает дочерний процесс. Аналитика 1. Базовый `source="*Zeek:SMB_Files" EventCode IN ("smb2_write_request", "smb1_write_andx_response", "smb2_tree_connect_request", "smb1_tree_connect_andx_request") AND (Path="ADMIN$" OR Path="C$")`

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание класса WMI Win32_Process и метода Create, которые могут использоваться для взаимодействия с удаленным сетевым ресурсом по протоколу Server Message Block (SMB). Соответствующие им индикаторы, обнаруженные с помощью фреймворка Bro/Zeek, — IWbemServices::ExecMethod или IWbemServices::ExecMethodAsync. Следует отметить, что на удаленных системах метод Create выполняется от имени системного процесса WmiPrvSE.exe. Процесс WmiPrvSE.exe порождает другой процесс, указанный в параметре CommandLine метода Create. Следовательно, WmiPrvSE.exe является родительским процессом для нового процесса, запущенного на удаленной системе. WmiPrvSE.exe является DCOM-сервером, запущенным на узле службы DCOM с параметрами C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p. С точки зрения пользовательских сеансов на целевой системе WmiPrvSE.exe порождается узлом службы DCOM в рамках нового сеанса входа в систему. При этом WmiPrvSE.exe запускает все процессы в рамках нового сетевого сеанса (3), созданного пользователем, который аутентифицировался через сеть. Аналитика 1. Базовый `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND ParentImage="*wmiprvse.exe" AND TargetLogonID="0x3e7"`

ID	DS0033	Источник и компонент данных	Сетевая папка: Доступ к сетевой папке	Описание	Отслеживайте взаимодействие с сетевыми папками (например, чтение или передачу файлов) по протоколу Server Message Block (SMB).

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в систему (например, события с идентификатором 4624, тип входа 3), при которых существующие учетные записи используются для взаимодействия с удаленным сетевым ресурсом по протоколу Server Message Block (SMB). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя. Проследите, чтобы велось надлежащее централизованное журналирование учетных записей, используемых для входа в систему. С помощью журналирования Windows можно собирать информацию об успешных и неуспешных попытках входа для учетных записей, которые злоумышленники могут использовать для перемещения внутри сети. Эти данные можно собирать с помощью различных инструментов, таких как переадресация событий Windows .

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для подключения к удаленным общим ресурсам, например net, через командную строку, а также применение техник изучения для поиска систем с удаленным доступом. Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; при анализе этих событий можно обнаружить установленные подключения и события записи в удаленных каталогах.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте в сетевых данных необычные потоки данных SMB. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых потоках SMB. Примечания: Логика реализации 1 основывается на обнаружении в протоколе SMB запросов на запись, которые часто используются злоумышленниками для перемещения на другой узел. В отличие от запросов на чтение в SMB, запросы на запись обычно требуют дополнительного уровня доступа, поэтому они встречаются реже. Фокусирование на операциях записи SMB позволяет сузить область поиска и отслеживать техники, связанные с активным внесением изменений в удаленные узлы, а не с пассивным чтением файлов. Логика реализации 2 основывается на обнаружении новых процессов, которые были созданы из файлов, сохраненных на SMB-ресурс. Сначала файл удаленно записывается на узел через SMB-ресурс, после чего могут использоваться различные техники удаленного запуска этого файла или сценария. Чтобы обнаружить такое поведение, отслеживайте файлы, которые записываются на узел через SMB, а затем запускаются непосредственно как процесс или через аргументы командной строки. Запись файлов SMB и удаленное выполнение могут быть обычным явлением в рабочей среде, но сочетание этих двух типов активности встречается реже и с большей вероятностью указывает на действия злоумышленников. Аналитика 1. Запись SMB `source="*Zeek:SMB_Files" port="445" AND protocol="smb.write"`
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений (обычно через порты 139 или 445), особенно с аномальными или недоверенными узлами. Сопоставляйте данные о соединениях с событиями удаленного входа и активностью, связанной с SMB, например передачей файлов и удаленным выполнением процессов. Примечание. Идентификатор события рассчитан на Zeek, но его можно реализовать и в других фреймворках посредством анализа и декодирования сохраненного трафика SMB2. Лучше отслеживать событие smb2_write_response, а не smb2_write_request, так как это подтвердит, что запись файла была действительно выполнена на удаленный сервер. К сожалению, в Bro/Zeek на данный момент нет события для такого типа сообщений SMB. Важно захватить именно тот сетевой трафик, который требуется для работы данного типа обнаружения (например, между конечными устройствами, или от рабочей станции до сервера, или между рабочими станциями). В таком случае полезно создать централизованную часть сервера для отслеживания соединений между серверами и конечными устройствами. Аналитики 1 и 2 похожи, но основное отличие второй версии заключается в том, что она предназначена для обнаружения нескольких попыток перемещения внутри периметра между узлами за короткий промежуток времени (5 минут). Отслеживаются события smb2_write_request и smb1_write_andx_response, указывающие на то, что файл SMB записан в общие административные папки Windows: ADMIN$ или C$. Отслеживаются события smb2_tree_connect_request и smb1_tree_connect_andx_request, исходящие с одного узла, независимо от попыток записи и успешности соединения (фиксируются только сами попытки) в течение указанного времени, если события повторяются хотя бы 5 раз за 5 минут с одного src_ip. Важно захватить именно тот сетевой трафик, который требуется для работы данного типа обнаружения (например, между конечными устройствами, или от рабочей станции до сервера, или между рабочими станциями). С учетом этого может быть полезно иметь централизованную часть сервера, в которой можно было бы отслеживать соединения между серверами и конечными устройствами. С помощью диспетчера управления службами (SCM) файл может быть скопирован в общую папку ADMIN$ и выполнен как служба. Данные действия можно отследить путем обнаружения входящих сетевых соединений RPC с диспетчером управления службами, вслед за которыми services.exe создает дочерний процесс. Аналитика 1. Базовый `source="*Zeek:SMB_Files" EventCode IN ("smb2_write_request", "smb1_write_andx_response", "smb2_tree_connect_request", "smb1_tree_connect_andx_request") AND (Path="ADMIN$" OR Path="C$")`
DS0009	Процесс: Создание процесса	Отслеживайте создание класса WMI Win32_Process и метода Create, которые могут использоваться для взаимодействия с удаленным сетевым ресурсом по протоколу Server Message Block (SMB). Соответствующие им индикаторы, обнаруженные с помощью фреймворка Bro/Zeek, — IWbemServices::ExecMethod или IWbemServices::ExecMethodAsync. Следует отметить, что на удаленных системах метод Create выполняется от имени системного процесса WmiPrvSE.exe. Процесс WmiPrvSE.exe порождает другой процесс, указанный в параметре CommandLine метода Create. Следовательно, WmiPrvSE.exe является родительским процессом для нового процесса, запущенного на удаленной системе. WmiPrvSE.exe является DCOM-сервером, запущенным на узле службы DCOM с параметрами C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p. С точки зрения пользовательских сеансов на целевой системе WmiPrvSE.exe порождается узлом службы DCOM в рамках нового сеанса входа в систему. При этом WmiPrvSE.exe запускает все процессы в рамках нового сетевого сеанса (3), созданного пользователем, который аутентифицировался через сеть. Аналитика 1. Базовый `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND ParentImage="*wmiprvse.exe" AND TargetLogonID="0x3e7"`
DS0033	Сетевая папка: Доступ к сетевой папке	Отслеживайте взаимодействие с сетевыми папками (например, чтение или передачу файлов) по протоколу Server Message Block (SMB).
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в систему (например, события с идентификатором 4624, тип входа 3), при которых существующие учетные записи используются для взаимодействия с удаленным сетевым ресурсом по протоколу Server Message Block (SMB). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя. Проследите, чтобы велось надлежащее централизованное журналирование учетных записей, используемых для входа в систему. С помощью журналирования Windows можно собирать информацию об успешных и неуспешных попытках входа для учетных записей, которые злоумышленники могут использовать для перемещения внутри сети. Эти данные можно собирать с помощью различных инструментов, таких как переадресация событий Windows .
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для подключения к удаленным общим ресурсам, например net, через командную строку, а также применение техник изучения для поиска систем с удаленным доступом. Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; при анализе этих событий можно обнаружить установленные подключения и события записи в удаленных каталогах.

Меры противодействия

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	По возможности отключите административные ресурсы Windows.

ID	M1037	Название	Фильтрация сетевого трафика	Описание	По возможности используйте межсетевой экран хоста для ограничения обмена файлами, в частности через SMB .

ID	M1027	Название	Парольные политики	Описание	Не используйте пароли учетных записей локальных администраторов в разных системах. Обеспечьте сложность и уникальность паролей, чтобы их нельзя было взломать или угадать.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Запретите удаленное использование учетных данных локального администратора для входа в систему. Не разрешайте учетным записям пользователей домена находиться в локальной группе "Администраторы" в нескольких системах.

ID	Название	Описание
M1035	Ограничение доступа к ресурсам по сети	По возможности отключите административные ресурсы Windows.
M1037	Фильтрация сетевого трафика	По возможности используйте межсетевой экран хоста для ограничения обмена файлами, в частности через SMB .
M1027	Парольные политики	Не используйте пароли учетных записей локальных администраторов в разных системах. Обеспечьте сложность и уникальность паролей, чтобы их нельзя было взломать или угадать.
M1026	Управление привилегированными учетными записями	Запретите удаленное использование учетных данных локального администратора для входа в систему. Не разрешайте учетным записям пользователей домена находиться в локальной группе "Администраторы" в нескольких системах.