T1210: Эксплуатация уязвимостей в удаленных службах
Проникнув во внутреннюю сеть, злоумышленники могут эксплуатировать уязвимости в удаленных службах для получения несанкционированного доступа к системам. Эксплуатацией уязвимостей в программном обеспечении называют использование злоумышленниками ошибок программирования в приложении, службе или операционной системе, включая ядро, для выполнения своего кода. Как правило, целью эксплуатации уязвимостей в удаленных службах после компрометации сети являются перемещение внутри периметра и получение доступа к другим системам.
Чтобы определить, возможна ли атака на удаленную систему, злоумышленник может воспользоваться техникой Изучение сетевых служб или других объектов для поиска развернутых в сети распространенных программ с известными уязвимостями, ПО, которое может содержать уязвимости из-за отсутствия исправлений, или защитных решений, которые могут обнаружить или сдержать эксплуатацию уязвимостей в удаленных системах. Приоритетными целями злоумышленников при перемещении внутри периметра обычно являются серверы, однако конечные точки тоже могут быть под угрозой, если они предоставляют привилегии или доступ к дополнительным ресурсам.
Хорошо известно несколько уязвимостей в распространенных службах, таких как SMB и RDP, а также в приложениях, которые используются во внутренних сетях (например, в MySQL и службах веб-серверов).
После перемещения внутри периметра в результате эксплуатации уязвимости злоумышленник также может воспользоваться техникой Эксплуатация уязвимостей для повышения привилегий с учетом уровня разрешений удаленной службы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_execution: PT-CR-2497: Subrule_Suspicious_RPC_Server: Успешное подключение к RPC-серверу
mitre_attck_lateral_movement: PT-CR-1981: SVCCTL_Connection: Удаленное подключение к диспетчеру служб с помощью интерфейса svcctl, который позволяет удаленно управлять службами Windows
mitre_attck_lateral_movement: PT-CR-211: Remote_Code_Execution_Via_AtSvc: Удаленное создание запланированной задачи Windows с помощью AtSvc
mitre_attck_lateral_movement: PT-CR-784: Auth_Coerce_with_WebClient_Abuse: Обнаружено использование техник PetitPotam или PrinterBug, реализуемых с помощью службы WebClient, для принудительной авторизации на атакующем узле по протоколу HTTP (порт 80)
sap_suspicious_user_activity: PT-CR-243: SAPASABAP_GW_Gateway_signature_pentest_tools: Использование пентест-утилит
mitre_attck_execution: PT-CR-2119: Suspicious_RPC_Server: Возможное подключение к RPC-серверу Mimikatz. Злоумышленники могут подключиться к RPC-серверу Mimikatz на компьютере жертвы для удаленного выполнения команд с помощью инструмента mimikatz.py из набора Impacket
vulnerabilities: PT-CR-4: Exploit_On_Vulnerable_Host: Возможная эксплуатация уязвимости
remote_work: PT-CR-450: VPN_client_to_client_connection: Прямые соединения между узлами VPN
unix_mitre_attck_lateral_movement: PT-CR-1015: Unix_Exploiting_SambaCry: Возможная эксплуатация уязвимости SambaCry (CVE-2017-7494) для удаленного выполнения кода
unix_mitre_attck_lateral_movement: PT-CR-1017: Subrule_Unix_Suspicious_SO_Created_and_Opened: Перемещение пользователя внутри периметра. Эксплуатация уязвимости SambaCry (CVE-2017-7494)
active_directory_attacks: PT-CR-2225: ADCS_CRL_Abusing: Подозрительная активность с использованием списка отозванных сертификатов (CRL). Используя доступ к CRL, злоумышленник может вынудить сервер центра сертификации пройти аутентификацию на удаленном сервере или получить возможность удаленного выполнения кода на сервере центра сертификации. Для работы правила необходимо заполнить табличный список "CRL_Publication_Time"
active_directory_attacks: PT-CR-2298: Zerologon_Attack: Эксплуатация уязвимости CVE-2020-1472 (Zerologon), которая позволяет сменить пароль к учетной записи контроллера домена
sap_attack_detection: PT-CR-156: SAPASABAP_Signature_pentest_tools: Использование пентест-утилит
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Используйте глубокую проверку пакетов для поиска артефактов типового трафика эксплойтов, например известных полезных нагрузок. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса. Межсетевые экраны веб-приложений могут обнаруживать посторонние объекты, использующиеся для эксплуатации. |
---|
Меры противодействия
ID | M1016 | Название | Поиск уязвимостей | Описание | Регулярно сканируйте внутреннюю сеть на наличие доступных сервисов, чтобы выявлять новые и потенциально уязвимые сервисы. |
---|
ID | M1019 | Название | Программа исследования угроз (киберразведка) | Описание | Разработайте надежную систему исследования киберугроз, чтобы выяснить, в угрозах каких типов и уровней могут использоваться эксплойты, включая эксплуатацию уязвимостей нулевого дня, против конкретной организации. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте разрешения и доступ для учетных записей служб, чтобы ограничить последствия эксплуатации. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Разделите сети и системы соответствующим образом, чтобы сократить доступ к критическим системам и сервисам до контролируемых методов. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Сократите количество доступных услуг до необходимых. |
---|
ID | M1048 | Название | Изоляция и помещение в песочницу приложений | Описание | Используйте песочницы, чтобы затруднить злоумышленникам продвижение внутри систем или между системами за счет эксплуатации необнаруженных или неисправленных уязвимостей. Другие типы виртуализации и микросегментации приложений также могут предотвратить некоторые последствия эксплуатации на стороне клиента. Однако и в системах этих типов также могут быть уязвимые места и риски дополнительных эксплойтов . |
---|
ID | M1050 | Название | Защита от эксплойтов | Описание | Средства безопасности, которые отслеживают использование эксплойтов, такие как Exploit Guard в Защитнике Windows и Enhanced Mitigation Experience Toolkit (EMET), могут защищать от некоторых видов вредоносной активности, связанной с эксплуатацией уязвимостей . Проверка целостности потока управления — еще один способ выявить и остановить программный эксплойт . Однако многие из этих средств защиты совместимы только с определенными архитектурами и бинарными файлами целевых приложений и могут работать не со всеми атакуемыми программами и сервисами. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте программное обеспечение, используя управление исправлениями для внутренних корпоративных конечных точек и серверов. |
---|