T1046: Изучение сетевых служб

Злоумышленники могут попытаться получить список служб, запущенных на удаленных узлах и устройствах локальной сетевой инфраструктуры, которые могут содержать уязвимости, доступные для удаленной эксплуатации. Для получения такой информации обычно используется сканирование портов и (или) уязвимостей с помощью инструментов, внедряемых в систему.

В облачных средах злоумышленники могут попытаться определить, какие службы работают на других облачных узлах. Кроме того, если облачная среда подключена к локальной среде, злоумышленники могут также определить, какие службы работают в необлачных системах.

В среде macOS злоумышленники могут использовать встроенное приложение Bonjour для обнаружения служб, работающих на других хостах под управлением macOS в сети. Демон Bonjour mDNSResponder автоматически регистрирует службы хоста и анонсирует зарегистрированные службы в сети. Например, злоумышленники могут использовать запрос mDNS (такой как dns-sd -B _ssh._tcp .), чтобы найти другие системы, анонсирующие службу ssh.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_discovery: PT-CR-1789: Unix_MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки mitre_attck_discovery: PT-CR-326: Network_Service_Discovery_From_Localnet: Обнаружена попытка просканировать определенные порты (22, 21, 23, 135, 445, 1433, 1434, 3306, 3389, 5800, 5900, 5958, 5986) нескольких узлов mitre_attck_discovery: PT-CR-590: Port_Scan_From_Localnet_To_Different_Hosts: Обнаружена попытка просканировать множество портов нескольких узлов mitre_attck_discovery: PT-CR-327: Port_Scan_From_Localnet_To_Single_Host: Обнаружена попытка получить список открытых портов узла network_devices_compromise: PT-CR-569: CheckPoint_SmartConsole_Attempt_To_Connect: Обнаружена попытка подключения с помощью утилиты CheckPoint SmartConsole с недоверенного узла network_devices_compromise: PT-CR-573: MikroTik_Winbox_Untrusted_Connection: Обнаружена попытка подключения к устройству MikroTik с помощью утилиты WinBox с недоверенного узла mitre_attck_command_and_control: PT-CR-428: Possible_Network_Local_Tunnel: Попытка подключиться к удаленному узлу через туннель. Это может быть признаком использования туннеля для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра active_directory_attacks: PT-CR-828: ADCS_Recon: Выполнен LDAP-запрос на поиск в сети серверов сертификатов. Злоумышленники могут использовать AD CS для кражи учетных данных и закрепления в системе hacking_tools: PT-CR-2244: SOAPHound_Usage: Использована утилита SOAPHound, предназначенная для сбора данных Active Directory через протокол веб-служб Active Directory (ADWS) hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене postgresql_database: PT-CR-1834: PostgreSQL_Port_Scan: Злоумышленник может сканировать внутренние узлы инфраструктуры с помощью штатных функций базы данных

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, с помощью которых можно получить список служб на удаленных узлах, включая те, которые содержат уязвимости с возможностью удаленной эксплуатации.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Следует отметить, что при сканировании узлов, портов или служб с зараженного компьютера он отправляет множество запросов к другим узлам в сети, чтобы найти активные узлы и службы.

После компрометации первого компьютера злоумышленники обычно пытаются переместиться дальше по сети. При попытке перемещения по периметру системы первыми действиями злоумышленников часто являются идентификация узлов, сканирование портов и служб во внутренней сети; эти действия выполняются со скомпрометированного компьютера с помощью таких инструментов, как Nmap и Cobalt Strike.

Примечание. Следует отметить, что при сканировании узлов, портов или служб с зараженного компьютера он отправляет множество запросов к другим узлам в сети, чтобы найти активные узлы и службы. Это можно определить с помощью следующего запроса.

Аналитика 1. Обнаружение действий по сканированию портов

sourcetype='firewall_logs' dest_ip='internal_subnet' | stats dc(dest_port) as pcount by src_ip | where pcount >5

IDDS0025Источник и компонент данныхОблачная служба: Получение списка облачных службОписание

В ходе атаки на облачные системы и службы, вероятно, будут использоваться техники изучения облачных служб. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации. В некоторых средах системные и сетевые события, связанные с безопасными действиями, но похожие на изучение облачных служб злоумышленниками, могут встречаться редко. Отслеживайте нетипичное поведение, связанное с использованием облачных служб, которое может свидетельствовать о присутствии злоумышленников в среде.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Используйте системы обнаружения и предотвращения сетевых вторжений для обнаружения и предотвращения удаленного сканирования служб.

IDM1030НазваниеСегментация сетиОписание

Обеспечьте правильную сегментацию сети для защиты критически важных серверов и устройств.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Закройте ненужные порты и службы, чтобы предотвратить риск обнаружения и потенциальной эксплуатации.