T1135: Изучение общих сетевых ресурсов
Злоумышленники могут осуществить в удаленных системах поиск папок и дисков в общем доступе с целью определения источников полезной информации для этапа сбора данных и выбора систем для перемещения внутри периметра. В сетях часто имеются общие сетевые диски и папки, посредством которых пользователи получают доступ к каталогам с файлами на различных системах в сети.
Общий доступ к файлам в сетях Windows осуществляется по протоколу SMB . С помощью утилиты net можно запросить удаленную систему о наличии доступных общих дисков, используя команду net view \\remotesystem
. С ее помощью можно также запрашивать информацию об общих дисках в локальной системе, используя команду net share
. В macOS команда sharing -l
отображает список всех точек общего доступа, используемых для служб SMB.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_discovery: PT-CR-323: Network_Share_Discovery: Обнаружена попытка получить список общих сетевых ресурсов
hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445
mitre_attck_discovery: PT-CR-1085: Shares_Discovery: Выполнен поиск общих файловых ресурсов в домене
hacking_tools: PT-CR-2019: SharpHound_Groups_Collection: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly. Данные методы применяются для сбора информации о локальных группах пользователей на различных доменных узлах
pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах
hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth)
hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_to_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound)
hacking_tools: PT-CR-1980: Subrule_SharpHound_Access_to_Samr_Srvsvc: Подключение к именованным каналам samr и srvsvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании одного из методов сбора информации утилиты SharpHound (BloodHound): LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly
mitre_attck_discovery: PT-CR-922: Multiple_Shares_Enum_on_Single_Host: Множественные попытки доступа к разделяемым ресурсам в короткий промежуток времени от имени одной учетной записи с одного IP-адреса
mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле
saltstack: PT-CR-2324: SaltStack_Run_List_Master_Command: Выполнена команда Salt cp.list_master
active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых можно искать в удаленных системах общие папки и диски с целью определения источников полезной информации на этапе сбора данных и выбора систем для перемещения внутри периметра. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска общих папок и дисков на удаленных системах с целью определения источников полезной информации для этапа сбора данных и выбора систем для перемещения внутри периметра. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут осуществить в удаленных системах поиск папок и дисков в общем доступе с целью определения источников полезной информации для этапа сбора данных и выбора систем для перемещения внутри периметра. |
---|
Меры противодействия
ID | M1028 | Название | Изменение конфигурации ОС | Описание | Включите параметр безопасности групповой политики Windows "Не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями", чтобы ограничить круг пользователей, которые могут просматривать информацию об общих сетевых ресурсах. |
---|