MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1059.008: Интерпретаторы командной строки сетевых устройств

Злоумышленники могут использовать сценарии или встроенные интерпретаторы командной строки (CLI) на сетевых устройствах для выполнения вредоносных команд и нагрузок. CLI — основное средство взаимодействия пользователей и администраторов с устройством, позволяющее просматривать информацию о системе, вносить изменения в работу устройства и выполнять задачи диагностики и администрирования. Как правило, интерпретаторы командной строки требуют различных уровней разрешений для разных команд.

Интерпретаторы сценариев автоматизируют задачи и расширяют функциональность сверх стандартного набора команд, включенных в сетевую ОС. Интерпретаторы командной строки и сценариев доступны через прямое подключение к консоли или удаленно, например через telnet или SSH.

Злоумышленники могут использовать сетевые CLI для внесения изменений в поведение и работу сетевых устройств. CLI могут быть использованы для манипулирования потоками трафика с целью перехвата или подмены данных, изменения параметров конфигурации при запуске системы с целью загрузки вредоносного системного ПО либо для отключения защитных средств или ведения журналов во избежание обнаружения.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

eltex: PT-CR-2322: Eltex_logging_to_untrusted_host: Настроена отправка журналов на недоверенный узел
network_devices_compromise: PT-CR-570: Cisco_ASA_logging_usernames_outside: На устройстве Cisco ASA настроена отправка имен пользователей на недоверенный узел
network_devices_compromise: PT-CR-572: Cisco_execute_suspicious_command: На устройстве Cisco IOS выполнена подозрительная команда
network_devices_compromise: PT-CR-578: Cisco_ASA_logging_to_untrusted_host: На устройстве Cisco ASA настроена отправка журналов на недоверенный узел
network_devices_compromise: PT-CR-1817: S_Terra_Gate_logging_to_untrusted_host: Настроена отправка журналов на недоверенный узел
network_devices_compromise: PT-CR-2128: Cumulus_logging_to_untrusted_host: Настроена отправка журналов на недоверенный узел

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

По возможности отслеживайте историю команд в консоли или команды, сохраненные в оперативной памяти, чтобы выявить изменения конфигурации устройства, выполненные с помощью несанкционированных или подозрительных команд . По возможности сравнивайте копию конфигурации сетевого устройства с известной легитимной копией, чтобы обнаружить несанкционированные изменения интерпретатора командной строки. Для этого можно также выполнять сравнение с динамически выделяемой памятью, но это довольно сложная задача, которая может потребовать привлечения поставщика.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

TACACS+ позволяет контролировать, какие команды разрешено использовать администраторам, с помощью настройки аутентификации и авторизации команд .

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Использование систем аутентификации, авторизации и учета (AAA) ограничит действия администраторов и обеспечит историю действий пользователей для выявления несанкционированного использования и злоупотреблений. TACACS+ позволяет контролировать, какие команды разрешено использовать администраторам, с помощью настройки аутентификации и авторизации команд.

IDM1018НазваниеУправление учетными записямиОписание

Использование систем аутентификации, авторизации и учета (AAA) ограничит пользователей и предоставит историю их действий, что позволит обнаруживать злоупотребления. К учетным записям и группам должен применяться принцип минимальных привилегий, чтобы вносить изменения в настройки могли только авторизованные пользователи .