MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1021.006: Служба удаленного управления Windows

Злоумышленники могут использовать существующие учетные записи для взаимодействия с удаленными системами через службу удаленного управления Windows (WinRM). После этого злоумышленники могут выполнять действия от имени вошедшего в систему пользователя.

WinRM — это название службы Windows и соответствующего протокола, которые позволяют пользователю взаимодействовать с удаленной системой (например, запускать исполняемые файлы, изменять реестр, управлять службами). WinRM активируется командой winrm или с помощью различных других программ, таких как PowerShell. WinRM может использоваться для удаленного взаимодействия с инструментарием управления Windows.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-1371: Evil_WinRM_Activity: Использование инструмента Evil-WinRM для удаленного выполнения команд
mitre_attck_lateral_movement: PT-CR-210: Powershell_Remoting: Обнаружено использование PowerShell remoting (WinRM) для удаленного выполнения команд
mitre_attck_lateral_movement: PT-CR-214: Remoting_Windows_Shell: Использование удаленной среды Windows (WinRS) для удаленного выполнения команд
mitre_attck_lateral_movement: PT-CR-216: Remoting_WMI: Обнаружение использование WMI для удаленного выполнения кода
mitre_attck_lateral_movement: PT-CR-957: Input_Remote_PowerShell_via_WinRM: Удаленное использование командлетов PowerShell через протокол WinRM на атакованном узле
mitre_attck_lateral_movement: PT-CR-959: Lateral_Movement_via_WinRM: Удаленное использование командлетов PowerShell через протокол WinRM
mitre_attck_lateral_movement: PT-CR-961: Output_Remote_PowerShell_via_WinRM: Удаленное использование командлетов PowerShell на атакующем узле через протокол WinRM

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Monitor for newly constructed network connections using Windows Remote Management (WinRM), such as remote WMI connection attempts (typically over port 5985 when using HTTP and 5986 for HTTPS).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. Network Analysis frameworks such as Zeek can be used to capture, decode, and alert on RPC network flows.

When a Windows Remote Management connection is opened, the client sends HTTP requests to port 5985 for HTTP or 5986 for HTTPS on the target host. Each HTTP(S) request to the URI “/wsman” is called, and other information is set in the headers. Depending on the operation, the HTTP method may vary (i.e., GET, POST, etc.). This analytic would detect Remote PowerShell, as well as other communications that rely on WinRM. Additionally, it outputs the executable on the client host, the connection information, and the hostname of the target host. Look for network connections to port 5985 and 5986. To really decipher what is going on, these outputs should be fed into something that can do packet analysis.

Note: Traffic to the RPC Endpoint Mapper will always have the destination port of 135. Assuming success, RPC traffic will continue to the endpoint. The endpoint and the client both bind to dynamically assigned ports (on Windows, this is typically greater than 49152). The traffic between the client and endpoint can be detected by looking at traffic to 135 followed by traffic where the source and destination ports are at least 49152.

IDDS0019Источник и компонент данныхСлужба: Метаданные службыОписание

Monitor use of WinRM within an environment by tracking service execution. If it is not normally used or is disabled, then this may be an indicator of suspicious behavior.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes that may use Valid Accounts to interact with remote systems using Windows Remote Management (WinRM), as well as service processes such as wmiprvse.exe on destination hosts.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Monitor for user accounts logging into the system via Valid Accounts to interact with remote systems using Windows Remote Management (WinRM). The adversary may then perform actions as the logged-on user.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may invoke a WinRM script to correlate it with other related events.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Disable the WinRM service.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

If the service is necessary, lock down critical enclaves with separate WinRM accounts and permissions.

IDM1030НазваниеСегментация сетиОписание

If the service is necessary, lock down critical enclaves with separate WinRM infrastructure and follow WinRM best practices on use of host firewalls to restrict WinRM access to allow communication only to/from specific devices.