MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1135: Изучение общих сетевых ресурсов

Злоумышленники могут осуществить в удаленных системах поиск папок и дисков в общем доступе с целью определения источников полезной информации для этапа сбора данных и выбора систем для перемещения внутри периметра. В сетях часто имеются общие сетевые диски и папки, посредством которых пользователи получают доступ к каталогам с файлами на различных системах в сети.

Общий доступ к файлам в сетях Windows осуществляется по протоколу SMB . С помощью утилиты net можно запросить удаленную систему о наличии доступных общих дисков, используя команду net view \\remotesystem. С ее помощью можно также запрашивать информацию об общих дисках в локальной системе, используя команду net share. В macOS команда sharing -l отображает список всех точек общего доступа, используемых для служб SMB.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_discovery: PT-CR-323: Network_Share_Discovery: Обнаружена попытка получить список общих сетевых ресурсов
hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445
mitre_attck_discovery: PT-CR-1085: Shares_Discovery: Выполнен поиск общих файловых ресурсов в домене
hacking_tools: PT-CR-2019: SharpHound_Groups_Collection: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly. Данные методы применяются для сбора информации о локальных группах пользователей на различных доменных узлах
pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound
hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах
hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth)
hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_to_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound)
hacking_tools: PT-CR-1980: Subrule_SharpHound_Access_to_Samr_Srvsvc: Подключение к именованным каналам samr и srvsvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании одного из методов сбора информации утилиты SharpHound (BloodHound): LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly
mitre_attck_discovery: PT-CR-922: Multiple_Shares_Enum_on_Single_Host: Множественные попытки доступа к разделяемым ресурсам в короткий промежуток времени от имени одной учетной записи с одного IP-адреса
mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле
saltstack: PT-CR-2324: SaltStack_Run_List_Master_Command: Выполнена команда Salt cp.list_master
active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых можно искать в удаленных системах общие папки и диски с целью определения источников полезной информации на этапе сбора данных и выбора систем для перемещения внутри периметра.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска общих папок и дисков на удаленных системах с целью определения источников полезной информации для этапа сбора данных и выбора систем для перемещения внутри периметра.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут осуществить в удаленных системах поиск папок и дисков в общем доступе с целью определения источников полезной информации для этапа сбора данных и выбора систем для перемещения внутри периметра.

Меры противодействия

IDM1028НазваниеИзменение конфигурации ОСОписание

Включите параметр безопасности групповой политики Windows "Не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями", чтобы ограничить круг пользователей, которые могут просматривать информацию об общих сетевых ресурсах.