Техника на mitre.org

T1021.006: Служба удаленного управления Windows

Злоумышленники могут использовать существующие учетные записи для взаимодействия с удаленными системами через службу удаленного управления Windows (WinRM). После этого злоумышленники могут выполнять действия от имени вошедшего в систему пользователя.

WinRM — это название службы Windows и соответствующего протокола, которые позволяют пользователю взаимодействовать с удаленной системой (например, запускать исполняемые файлы, изменять реестр, управлять службами). WinRM активируется командой winrm или с помощью различных других программ, таких как PowerShell. WinRM может использоваться для удаленного взаимодействия с инструментарием управления Windows.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-957: Input_Remote_PowerShell_Via_WinRM: Удаленное использование командлетов PowerShell через протокол WinRM на атакованном узле mitre_attck_lateral_movement: PT-CR-1371: Evil_WinRM_Activity: Использование инструмента Evil-WinRM для удаленного выполнения команд mitre_attck_lateral_movement: PT-CR-961: Output_Remote_PowerShell_Via_WinRM: Удаленное использование командлетов PowerShell на атакующем узле через протокол WinRM mitre_attck_lateral_movement: PT-CR-959: Lateral_Movement_Via_WinRM: Удаленное использование командлетов PowerShell через протокол WinRM mitre_attck_lateral_movement: PT-CR-210: Powershell_Remoting: Обнаружено использование PowerShell remoting (WinRM) для удаленного выполнения команд mitre_attck_lateral_movement: PT-CR-214: Remoting_Windows_Shell: Использование удаленной среды Windows (WinRS) для удаленного выполнения команд mitre_attck_lateral_movement: PT-CR-216: Remoting_WMI: Обнаружение использование WMI для удаленного выполнения кода hacking_tools: PT-CR-2449: WMEye_Event_Filter_Creation: Создан фильтр событий WMI и запущен процесс MSBuild.exe для возможного выполнения полезной нагрузки, записанной в файл с помощью созданного фильтра событий. Это может указывать на использование утилиты WMEye, которая позволяет горизонтально перемещаться на другие узлы инфраструктуры и удаленно выполнять произвольный код hacking_tools: PT-CR-2450: WMEye_Execution: Возможное использование утилиты WMEye, чтобы удаленно выполнить произвольный код и переместиться горизонтально. Утилита WMEye создает фильтр событий WMI, чтобы записать полезную нагрузку в файл и выполнить ее с помощью процесса MSBuild.exe

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, в которых могут использоваться существующие учетные записи для взаимодействия с удаленными системами через службу удаленного управления Windows (WinRM), а также таких процессов служб, как `WmiPrvSE.exe`, на целевых узлах.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в систему через существующие учетные записи, которые злоумышленники могут использовать для взаимодействия с удаленными системами через службу удаленного управления Windows (WinRM). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений, использующих службу удаленного управления Windows (WinRM), например попытки удаленного подключения WMI (обычно через порт 5985 в случае HTTP и через порт 5986 при HTTPS).

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска сценария WinRM, и сопоставляйте их с другими связанными событиями.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых потоках RPC. Когда открывается соединение службы удаленного управления Windows, клиент отправляет HTTP-запросы на порт 5985 (в случае HTTP) или на порт 5986 (в случае HTTPS) на целевом узле. HTTP(S)-запросы делаются к URI-адресу типа `/wsman`, а прочая информация задается в заголовках. В зависимости от операции HTTP-метод может быть разным (например, GET и POST). Эта аналитика обнаруживает удаленные сеансы PowerShell, а также другие соединения, использующие WinRM. Кроме того, она выводит информацию об исполняемом файле на клиентском узле, информацию о соединении и имя целевого узла. Отслеживайте сетевые подключения к портам 5985 и 5986. Чтобы полностью понять происходящее, эти данные нужно передавать в систему, способную анализировать пакеты. Примечание. Трафик в RPC Endpoint Mapper всегда направляется к порту 135. При успешном прохождении порта RPC-трафик проследует к конечному устройству. Конечное устройство и клиент привязаны к динамически назначаемым портам (в Windows их значение обычно превышает 49152). Трафик между клиентом и конечным устройством можно обнаружить, отслеживая трафик к порту 135, а затем выделяя трафик, для которого значения портов источника и назначения превышают 49152.

ID	DS0019	Источник и компонент данных	Служба: Метаданные службы	Описание	Отслеживайте использование WinRM в среде, наблюдая за выполнением службы. Если она обычно отключена или не используется, это может служить признаком подозрительного поведения.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, в которых могут использоваться существующие учетные записи для взаимодействия с удаленными системами через службу удаленного управления Windows (WinRM), а также таких процессов служб, как `WmiPrvSE.exe`, на целевых узлах.
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в систему через существующие учетные записи, которые злоумышленники могут использовать для взаимодействия с удаленными системами через службу удаленного управления Windows (WinRM). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя.
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений, использующих службу удаленного управления Windows (WinRM), например попытки удаленного подключения WMI (обычно через порт 5985 в случае HTTP и через порт 5986 при HTTPS).
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска сценария WinRM, и сопоставляйте их с другими связанными событиями.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых потоках RPC. Когда открывается соединение службы удаленного управления Windows, клиент отправляет HTTP-запросы на порт 5985 (в случае HTTP) или на порт 5986 (в случае HTTPS) на целевом узле. HTTP(S)-запросы делаются к URI-адресу типа `/wsman`, а прочая информация задается в заголовках. В зависимости от операции HTTP-метод может быть разным (например, GET и POST). Эта аналитика обнаруживает удаленные сеансы PowerShell, а также другие соединения, использующие WinRM. Кроме того, она выводит информацию об исполняемом файле на клиентском узле, информацию о соединении и имя целевого узла. Отслеживайте сетевые подключения к портам 5985 и 5986. Чтобы полностью понять происходящее, эти данные нужно передавать в систему, способную анализировать пакеты. Примечание. Трафик в RPC Endpoint Mapper всегда направляется к порту 135. При успешном прохождении порта RPC-трафик проследует к конечному устройству. Конечное устройство и клиент привязаны к динамически назначаемым портам (в Windows их значение обычно превышает 49152). Трафик между клиентом и конечным устройством можно обнаружить, отслеживая трафик к порту 135, а затем выделяя трафик, для которого значения портов источника и назначения превышают 49152.
DS0019	Служба: Метаданные службы	Отслеживайте использование WinRM в среде, наблюдая за выполнением службы. Если она обычно отключена или не используется, это может служить признаком подозрительного поведения.

Меры противодействия

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Отключите службу WinRM.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Если служба необходима, заблокируйте критические анклавы с помощью отдельных учетных записей WinRM и разрешений.

ID	M1030	Название	Сегментация сети	Описание	Если служба необходима, изолируйте критически важные анклавы с отдельной инфраструктурой WinRM и следуйте лучшим практикам WinRM по использованию межсетевых экранов на хостах для ограничения доступа к WinRM, чтобы разрешить связь только с определенными устройствами.

ID	Название	Описание
M1042	Отключение или удаление компонента или программы	Отключите службу WinRM.
M1026	Управление привилегированными учетными записями	Если служба необходима, заблокируйте критические анклавы с помощью отдельных учетных записей WinRM и разрешений.
M1030	Сегментация сети	Если служба необходима, изолируйте критически важные анклавы с отдельной инфраструктурой WinRM и следуйте лучшим практикам WinRM по использованию межсетевых экранов на хостах для ограничения доступа к WinRM, чтобы разрешить связь только с определенными устройствами.