Техника на mitre.org

T1049: Изучение сетевых подключений

Запрашивая информацию по сети, злоумышленники могут попытаться получить список входящих или исходящих сетевых соединений удаленной системы или скомпрометированной системы, к которой они в данный момент имеют доступ.

Злоумышленник, получивший доступ к системе, входящей в облачную среду, может составить карту виртуальных частных облаков или виртуальных сетей, чтобы определить список подключенных систем и служб. Для получения этих данных чаще всего используются техники изучения, обычно применяемые для соответствующих операционных систем, однако полученная информация может содержать нужные злоумышленнику сведения о сетевом облачном окружении. Поставщики облачных услуг могут по-разному организовывать работу своих виртуальных сетей. Злоумышленники, получившие доступ к сетевым устройствам, могут выполнять соответствующие действия по изучению подключенных систем и служб, чтобы собирать информацию о них.

Для получения этой информации используются такие утилиты, как netstat, и такие команды, как net use и net session (утилита Net). В Mac и Linux для вывода списка текущих соединений могут использоваться команды netstat и lsof. Для отображения вошедших в систему пользователей могут использоваться команды who -a и w, аналогичные команде net session. Кроме того, могут использоваться встроенные функции сетевых устройств и интерпретаторы командной строки сетевых устройств (например, show ip sockets, show tcp brief).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор unix_mitre_attck_discovery: PT-CR-1682: Unix_System_Network_Configuration_Discovery: Выполнение команды разведки по сетевым настройкам и соединениям Unix-узла pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound mysql_database: PT-CR-616: MySQL_Server_Connections_Discovery: Попытка получить список подключений к серверу mitre_attck_discovery: PT-CR-2151: Subrule_Net_Share_Access: Получен доступ к объекту сетевого каталога. Злоумышленники могут использовать объекты сетевого каталога для горизонтального перемещения mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле mitre_attck_discovery: PT-CR-334: System_Network_Connections_Discovery: Обнаружена попытка получить информацию о сетевых соединениях mitre_attck_discovery: PT-CR-2150: Net_Tool_Usage: Использована утилита NET. Злоумышленники могут использовать утилиту NET с параметром "use" для проведения сетевой разведки, подключения к общим сетевым ресурсам, проверки актуальности учетных данных и горизонтального перемещения active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2020: SharpHound_LoggedOn: Запуск утилиты SharpHound (BloodHound) с использованием метода LoggedOn, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах hacking_tools: PT-CR-1980: Subrule_SharpHound_Access_To_Samr_Srvsvc: Подключение к именованным каналам samr и srvsvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании одного из методов сбора информации утилиты SharpHound (BloodHound): LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-1977: Subrule_SharpHound_LoggedOn: Подключение к каналам winreg (2) и wkssvc (1) от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации LoggedOn утилиты SharpHound (BloodHound) hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_To_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound) hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth) hacking_tools: PT-CR-2019: SharpHound_Groups_Collection: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly. Данные методы применяются для сбора информации о локальных группах пользователей на различных доменных узлах hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API, с помощью которых можно получить список входящих или исходящих сетевых соединений удаленной системы или скомпрометированной системы, к которой в данный момент имеют доступ злоумышленники.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск процессов, которые могут получить список входящих или исходящих сетевых соединений удаленной системы или скомпрометированной системы, к которой в данный момент имеют доступ злоумышленники.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, с помощью которых злоумышленники могут получить список входящих или исходящих сетевых соединений удаленной системы или скомпрометированной системы, к которой они в данный момент имеют доступ, посредством запроса информации по сети. Сбор информации также может осуществляться с помощью таких техник, как Инструментарий управления Windows и PowerShell. На сетевых устройствах отслеживайте выполнение команд по журналам аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API, с помощью которых можно получить список входящих или исходящих сетевых соединений удаленной системы или скомпрометированной системы, к которой в данный момент имеют доступ злоумышленники.
DS0009	Процесс: Создание процесса	Отслеживайте запуск процессов, которые могут получить список входящих или исходящих сетевых соединений удаленной системы или скомпрометированной системы, к которой в данный момент имеют доступ злоумышленники.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, с помощью которых злоумышленники могут получить список входящих или исходящих сетевых соединений удаленной системы или скомпрометированной системы, к которой они в данный момент имеют доступ, посредством запроса информации по сети. Сбор информации также может осуществляться с помощью таких техник, как Инструментарий управления Windows и PowerShell. На сетевых устройствах отслеживайте выполнение команд по журналам аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают.