T1210: Эксплуатация уязвимостей в удаленных службах
Проникнув во внутреннюю сеть, злоумышленники могут эксплуатировать уязвимости в удаленных службах для получения несанкционированного доступа к системам. Эксплуатацией уязвимостей в программном обеспечении называют использование злоумышленниками ошибок программирования в приложении, службе или операционной системе, включая ядро, для выполнения своего кода. Как правило, целью эксплуатации уязвимостей в удаленных службах после компрометации сети являются перемещение внутри периметра и получение доступа к другим системам.
Чтобы определить, возможна ли атака на удаленную систему, злоумышленник может воспользоваться техникой Изучение сетевых служб или других объектов для поиска развернутых в сети распространенных программ с известными уязвимостями, ПО, которое может содержать уязвимости из-за отсутствия исправлений, или защитных решений, которые могут обнаружить или сдержать эксплуатацию уязвимостей в удаленных системах. Приоритетными целями злоумышленников при перемещении внутри периметра обычно являются серверы, однако конечные точки тоже могут быть под угрозой, если они предоставляют привилегии или доступ к дополнительным ресурсам.
Хорошо известно несколько уязвимостей в распространенных службах, таких как SMB и RDP, а также в приложениях, которые используются во внутренних сетях (например, в MySQL и службах веб-серверов).
После перемещения внутри периметра в результате эксплуатации уязвимости злоумышленник также может воспользоваться техникой Эксплуатация уязвимостей для повышения привилегий с учетом уровня разрешений удаленной службы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
active_directory_certificate_services_attacks: PT-CR-2225: ADCS_CRL_Abusing: Подозрительная активность с использованием списка отозванных сертификатов (CRL). Используя доступ к CRL, злоумышленник может вынудить сервер центра сертификации пройти аутентификацию на удаленном сервере или получить возможность удаленного выполнения кода на сервере центра сертификации. Для работы правила необходимо заполнить табличный список "CRL_Publication_Time" sap_suspicious_user_activity: PT-CR-243: SAPASABAP_GW_Gateway_Signature_Pentest_Tools: Использование пентест-утилит remote_work: PT-CR-450: VPN_Client_To_Client_Connection: Прямое соединение между двумя узлами в VPN-сети active_directory_attacks: PT-CR-2298: Zerologon_Attack: Эксплуатация уязвимости CVE-2020-1472 (Zerologon), которая позволяет сменить пароль к учетной записи контроллера домена mitre_attck_lateral_movement: PT-CR-1981: SVCCTL_Connection: Удаленное подключение к диспетчеру служб с помощью интерфейса svcctl, который позволяет удаленно управлять службами Windows mitre_attck_lateral_movement: PT-CR-211: Remote_Code_Execution_Via_AtSvc: Удаленное создание запланированной задачи Windows с помощью AtSvc mitre_attck_lateral_movement: PT-CR-784: Auth_Coerce_With_WebClient_Abuse: Обнаружено использование техник PetitPotam или PrinterBug, реализуемых с помощью службы WebClient, для принудительной авторизации на атакующем узле по протоколу HTTP (порт 80) unix_mitre_attck_lateral_movement: PT-CR-1017: Subrule_Unix_Suspicious_SO_Created_And_Opened: Перемещение пользователя внутри периметра. Эксплуатация уязвимости SambaCry (CVE-2017-7494) unix_mitre_attck_lateral_movement: PT-CR-1015: Unix_Exploiting_SambaCry: Возможная эксплуатация уязвимости SambaCry (CVE-2017-7494) для удаленного выполнения кода sap_attack_detection: PT-CR-156: SAPASABAP_Signature_Pentest_Tools: Использование пентест-утилит vulnerabilities: PT-CR-3004: Subrule_Erlang_Single_Connection: Процесс сервера Erlang принял или открыл одиночное подключение к другому сетевому узлу vulnerabilities: PT-CR-2754: MS17_010_SMB_Code_Execution: Эксплуатация уязвимости класса MS17-010. Уязвимости этого класса позволяют повысить привилегии до SYSTEM, воспользовавшись недостатками протокола SMBv1. После этого злоумышленник может создать вредоносную службу, использовав доступ к именованному каналу "svcctl", который отвечает за удаленное конфигурирование служб Windows на узлах, и выполнить произвольный код vulnerabilities: PT-CR-3003: CVE_2025_32433_Erlang_SSH_RCE: Процесс сервера Erlang принял входящее и открыл исходящее подключение за короткий промежуток времени. Это может быть признаком эксплуатации уязвимости CVE-2025-32433, позволяющей выполнить произвольный код с привилегиями демона SSH без аутентификации mitre_attck_execution: PT-CR-2497: Subrule_Suspicious_RPC_Server: Успешное подключение к RPC-серверу mitre_attck_execution: PT-CR-2119: Suspicious_RPC_Server: Возможное подключение к RPC-серверу Mimikatz. Злоумышленники могут подключиться к RPC-серверу Mimikatz на компьютере жертвы для удаленного выполнения команд с помощью инструмента mimikatz.py из набора Impacket
Способы обнаружения
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса. Межсетевые экраны веб-приложений могут обнаруживать посторонние объекты, использующиеся для эксплуатации. |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Используйте глубокую проверку пакетов для поиска артефактов типового трафика эксплойтов, например известных полезных нагрузок. |
|---|
Меры противодействия
| ID | M1016 | Название | Поиск уязвимостей | Описание | Регулярно сканируйте внутреннюю сеть на наличие доступных сервисов, чтобы выявлять новые и потенциально уязвимые сервисы. |
|---|
| ID | M1019 | Название | Программа исследования угроз (киберразведка) | Описание | Разработайте надежную систему исследования киберугроз, чтобы выяснить, в угрозах каких типов и уровней могут использоваться эксплойты, включая эксплуатацию уязвимостей нулевого дня, против конкретной организации. |
|---|
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте разрешения и доступ для учетных записей служб, чтобы ограничить последствия эксплуатации. |
|---|
| ID | M1030 | Название | Сегментация сети | Описание | Разделите сети и системы соответствующим образом, чтобы сократить доступ к критическим системам и сервисам до контролируемых методов. |
|---|
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Сократите количество доступных услуг до необходимых. |
|---|
| ID | M1048 | Название | Изоляция и помещение в песочницу приложений | Описание | Используйте песочницы, чтобы затруднить злоумышленникам продвижение внутри систем или между системами за счет эксплуатации необнаруженных или неисправленных уязвимостей. Другие типы виртуализации и микросегментации приложений также могут предотвратить некоторые последствия эксплуатации на стороне клиента. Однако и в системах этих типов также могут быть уязвимые места и риски дополнительных эксплойтов . |
|---|
| ID | M1050 | Название | Защита от эксплойтов | Описание | Средства безопасности, которые отслеживают использование эксплойтов, такие как Exploit Guard в Защитнике Windows и Enhanced Mitigation Experience Toolkit (EMET), могут защищать от некоторых видов вредоносной активности, связанной с эксплуатацией уязвимостей . Проверка целостности потока управления — еще один способ выявить и остановить программный эксплойт . Однако многие из этих средств защиты совместимы только с определенными архитектурами и бинарными файлами целевых приложений и могут работать не со всеми атакуемыми программами и сервисами. |
|---|
| ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте программное обеспечение, используя управление исправлениями для внутренних корпоративных конечных точек и серверов. |
|---|