MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1210: Эксплуатация уязвимостей в удаленных службах

Проникнув во внутреннюю сеть, злоумышленники могут эксплуатировать уязвимости в удаленных службах для получения несанкционированного доступа к системам. Эксплуатацией уязвимостей в программном обеспечении называют использование злоумышленниками ошибок программирования в приложении, службе или операционной системе, включая ядро, для выполнения своего кода. Как правило, целью эксплуатации уязвимостей в удаленных службах после компрометации сети являются перемещение внутри периметра и получение доступа к другим системам.

Чтобы определить, возможна ли атака на удаленную систему, злоумышленник может воспользоваться техникой Изучение сетевых служб или других объектов для поиска развернутых в сети распространенных программ с известными уязвимостями, ПО, которое может содержать уязвимости из-за отсутствия исправлений, или защитных решений, которые могут обнаружить или сдержать эксплуатацию уязвимостей в удаленных системах. Приоритетными целями злоумышленников при перемещении внутри периметра обычно являются серверы, однако конечные точки тоже могут быть под угрозой, если они предоставляют привилегии или доступ к дополнительным ресурсам.

Хорошо известно несколько уязвимостей в распространенных службах, таких как SMB и RDP, а также в приложениях, которые используются во внутренних сетях (например, в MySQL и службах веб-серверов).

После перемещения внутри периметра в результате эксплуатации уязвимости злоумышленник также может воспользоваться техникой Эксплуатация уязвимостей для повышения привилегий с учетом уровня разрешений удаленной службы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-2497: Subrule_Suspicious_RPC_Server: Успешное подключение к RPC-серверу
mitre_attck_lateral_movement: PT-CR-1981: SVCCTL_Connection: Удаленное подключение к диспетчеру служб с помощью интерфейса svcctl, который позволяет удаленно управлять службами Windows
mitre_attck_lateral_movement: PT-CR-211: Remote_Code_Execution_Via_AtSvc: Удаленное создание запланированной задачи Windows с помощью AtSvc
mitre_attck_lateral_movement: PT-CR-784: Auth_Coerce_with_WebClient_Abuse: Обнаружено использование техник PetitPotam или PrinterBug, реализуемых с помощью службы WebClient, для принудительной авторизации на атакующем узле по протоколу HTTP (порт 80)
sap_suspicious_user_activity: PT-CR-243: SAPASABAP_GW_Gateway_signature_pentest_tools: Использование пентест-утилит
mitre_attck_execution: PT-CR-2119: Suspicious_RPC_Server: Возможное подключение к RPC-серверу Mimikatz. Злоумышленники могут подключиться к RPC-серверу Mimikatz на компьютере жертвы для удаленного выполнения команд с помощью инструмента mimikatz.py из набора Impacket
vulnerabilities: PT-CR-4: Exploit_On_Vulnerable_Host: Возможная эксплуатация уязвимости
remote_work: PT-CR-450: VPN_client_to_client_connection: Прямые соединения между узлами VPN
unix_mitre_attck_lateral_movement: PT-CR-1015: Unix_Exploiting_SambaCry: Возможная эксплуатация уязвимости SambaCry (CVE-2017-7494) для удаленного выполнения кода
unix_mitre_attck_lateral_movement: PT-CR-1017: Subrule_Unix_Suspicious_SO_Created_and_Opened: Перемещение пользователя внутри периметра. Эксплуатация уязвимости SambaCry (CVE-2017-7494)
active_directory_attacks: PT-CR-2225: ADCS_CRL_Abusing: Подозрительная активность с использованием списка отозванных сертификатов (CRL). Используя доступ к CRL, злоумышленник может вынудить сервер центра сертификации пройти аутентификацию на удаленном сервере или получить возможность удаленного выполнения кода на сервере центра сертификации. Для работы правила необходимо заполнить табличный список "CRL_Publication_Time"
active_directory_attacks: PT-CR-2298: Zerologon_Attack: Эксплуатация уязвимости CVE-2020-1472 (Zerologon), которая позволяет сменить пароль к учетной записи контроллера домена
sap_attack_detection: PT-CR-156: SAPASABAP_Signature_pentest_tools: Использование пентест-утилит

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Используйте глубокую проверку пакетов для поиска артефактов типового трафика эксплойтов, например известных полезных нагрузок.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса. Межсетевые экраны веб-приложений могут обнаруживать посторонние объекты, использующиеся для эксплуатации.

Меры противодействия

IDM1016НазваниеПоиск уязвимостейОписание

Регулярно сканируйте внутреннюю сеть на наличие доступных сервисов, чтобы выявлять новые и потенциально уязвимые сервисы.

IDM1019НазваниеПрограмма исследования угроз (киберразведка)Описание

Разработайте надежную систему исследования киберугроз, чтобы выяснить, в угрозах каких типов и уровней могут использоваться эксплойты, включая эксплуатацию уязвимостей нулевого дня, против конкретной организации.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте разрешения и доступ для учетных записей служб, чтобы ограничить последствия эксплуатации.

IDM1030НазваниеСегментация сетиОписание

Разделите сети и системы соответствующим образом, чтобы сократить доступ к критическим системам и сервисам до контролируемых методов.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Сократите количество доступных услуг до необходимых.

IDM1048НазваниеИзоляция и помещение в песочницу приложенийОписание

Используйте песочницы, чтобы затруднить злоумышленникам продвижение внутри систем или между системами за счет эксплуатации необнаруженных или неисправленных уязвимостей. Другие типы виртуализации и микросегментации приложений также могут предотвратить некоторые последствия эксплуатации на стороне клиента. Однако и в системах этих типов также могут быть уязвимые места и риски дополнительных эксплойтов .

IDM1050НазваниеЗащита от эксплойтовОписание

Средства безопасности, которые отслеживают использование эксплойтов, такие как Exploit Guard в Защитнике Windows и Enhanced Mitigation Experience Toolkit (EMET), могут защищать от некоторых видов вредоносной активности, связанной с эксплуатацией уязвимостей . Проверка целостности потока управления — еще один способ выявить и остановить программный эксплойт . Однако многие из этих средств защиты совместимы только с определенными архитектурами и бинарными файлами целевых приложений и могут работать не со всеми атакуемыми программами и сервисами.

IDM1051НазваниеОбновление ПООписание

Регулярно обновляйте программное обеспечение, используя управление исправлениями для внутренних корпоративных конечных точек и серверов.