Техника на mitre.org

T1133: Внешние службы удаленного доступа

Злоумышленники могут использовать службы удаленного доступа с возможностью внешнего подключения для получения первоначального доступа к сети и (или) закрепления в ней. Службы удаленного доступа, такие как VPN, Citrix и другие, позволяют пользователям подключаться к внутренним ресурсам корпоративной сети извне. Соединениями и аутентификацией учетных данных для служб удаленного доступа часто управляют специальные шлюзы. Такие службы, как служба удаленного управления Windows и VNC, также можно использовать извне.

Для использования службы часто требуется доступ к существующим учетным записям, который может быть получен путем фарминга учетных данных или путем получения учетных данных пользователей после компрометации корпоративной сети. Службы удаленного доступа могут использоваться в качестве резервного или постоянного механизма доступа во время атак.

Доступ также может быть получен через открытую службу, которая не требует аутентификации. В контейнерных средах это может быть открытый API Docker, сервер API Kubernetes, kubelet (агент узла в Kubernetes) или веб-приложение, например веб-интерфейс Kubernetes.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

yandex_cloud: PT-CR-1259: Yandex_Cloud_Kubernetes_External_Address_Connection: Обнаружено подключение с внешнего адреса к кластеру Kubernetes yandex_cloud: PT-CR-1264: Yandex_Cloud_Public_Address_Without_DDoS_Protection_Creation: Создан публичный IP-адрес без защиты от DDoS-атак remote_work: PT-CR-1056: VPN_MultiUser_IP: Один IP-адрес используется в разных VPN-сеансах remote_work: PT-CR-1048: RDG_Abnormal_Access: Подозрительное подключение к Remote Desktop Gateway (RDG). Данные аутентификации отличаются от собранного профиля remote_work: PT-CR-1055: VPN_Abnormal_Access: Подозрительное подключение по VPN. Данные подключения отличаются от ранее собранного профиля remote_work: PT-CR-427: Connect_To_Significant_Hosts_From_VPN: Подключение к узлу в критически важном сегменте сети с адреса, находящегося в пуле корпоративных VPN-адресов remote_work: PT-CR-1058: Remote_Login_From_Not_Allowed_Country: Подключение через VPN или RDG с IP-адреса, который не принадлежит пулу адресов разрешенных стран remote_work: PT-CR-1036: Mail_Abnormal_Access: Подозрительный вход в почту с нового мобильного устройства. Данные аутентификации отличаются от собранного профиля remote_work: PT-CR-436: Remote_Session_Changed_Address_CheckPoint: Изменен IP-адрес VPN-подключения пользователя в CheckPoint remote_work: PT-CR-2653: Duplicate_Remote_Session: Дублирующий VPN-сеанс remote_work: PT-CR-1937: SMB_RPC_Internet_Connection: Сетевое взаимодействие с интернет-источником по SMB или RPC, которое злоумышленник может использовать для первоначального доступа network_devices_abnormal_activity: PT-CR-472: External_VPN_Service_Usage: Обнаружено подключение к внешней службе VPN profiling: PT-CR-1783: Owa_Abnormal_Access: Подозрительный вход в приложение Outlook Web App. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1787: MFA_Abnormal_Access: Подозрительная аутентификация в приложении Multifactor. Данные аутентификации отличаются от собранного профиля

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений, которые могут использовать существующие учетные записи для доступа к сети и (или) закрепления в ней с помощью внешних служб удаленного доступа. Использование внешних служб удаленного доступа может быть легитимным в зависимости от особенностей среды. На подозрительное или вредоносное поведение, связанное с использованием внешних служб удаленного доступа, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Метаданные сеанса входа в систему	Описание	Следуйте лучшим практикам обнаружения попыток использования существующих учетных записей злоумышленниками для аутентификации в службах удаленного доступа. Отслеживайте журналы аутентификации и анализируйте нетипичные попытки доступа, периоды активности и попытки доступа в нерабочее время.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Если для использования службы удаленного доступа не требуется аутентификация, отслеживайте действия, которые могут производиться после подключения, например аномальное использование доступного API или приложения внешним пользователем.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений, которые могут использовать существующие учетные записи для доступа к сети и (или) закрепления в ней с помощью внешних служб удаленного доступа. Использование внешних служб удаленного доступа может быть легитимным в зависимости от особенностей среды. На подозрительное или вредоносное поведение, связанное с использованием внешних служб удаленного доступа, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа.
DS0028	Сеанс входа в систему: Метаданные сеанса входа в систему	Следуйте лучшим практикам обнаружения попыток использования существующих учетных записей злоумышленниками для аутентификации в службах удаленного доступа. Отслеживайте журналы аутентификации и анализируйте нетипичные попытки доступа, периоды активности и попытки доступа в нерабочее время.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.
DS0015	Журналы приложений: Содержимое журналов приложений	Если для использования службы удаленного доступа не требуется аутентификация, отслеживайте действия, которые могут производиться после подключения, например аномальное использование доступного API или приложения внешним пользователем.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

ID	M1030	Название	Сегментация сети	Описание	Используйте сетевые прокси-серверы, шлюзы и межсетевые экраны, чтобы запретить прямой удаленный доступ к внутренним системам.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Отключите или заблокируйте удаленно доступные службы, которые могут оказаться ненужными.

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	Ограничьте доступ к службам удаленного доступа через централизованно управляемые концентраторы, такие как VPN и другие управляемые системы удаленного доступа.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте надежную двухфакторную или многофакторную аутентификацию для учетных записей служб удаленного доступа, чтобы затруднить злоумышленникам использование украденных учетных данных, но помните о техниках перехвата многофакторной аутентификации, применяемых для некоторых реализаций двухфакторной аутентификации.

ID	Название	Описание
M1030	Сегментация сети	Используйте сетевые прокси-серверы, шлюзы и межсетевые экраны, чтобы запретить прямой удаленный доступ к внутренним системам.
M1042	Отключение или удаление компонента или программы	Отключите или заблокируйте удаленно доступные службы, которые могут оказаться ненужными.
M1035	Ограничение доступа к ресурсам по сети	Ограничьте доступ к службам удаленного доступа через централизованно управляемые концентраторы, такие как VPN и другие управляемые системы удаленного доступа.
M1032	Многофакторная аутентификация	Используйте надежную двухфакторную или многофакторную аутентификацию для учетных записей служб удаленного доступа, чтобы затруднить злоумышленникам использование украденных учетных данных, но помните о техниках перехвата многофакторной аутентификации, применяемых для некоторых реализаций двухфакторной аутентификации.