T1563: Перехват сессии службы удаленного доступа
Злоумышленники могут получить контроль над уже существующими сессиями служб удаленного доступа для перемещения внутри периметра. Пользователи могут использовать действительные учетные данные для авторизации в службах удаленных подключений, таких как Telnet, SSH и RDP. При входе пользователя в службу устанавливается сессия, которая позволяет ему взаимодействовать с этой службой.
Злоумышленники могут перехватить эти сессии, чтобы выполнять операции в удаленных системах. Перехват сессии службы удаленного доступа отличается от техники Службы удаленного доступа тем, что подразумевает перехват существующей сессии, а не создание новой сессии с помощью существующих учетных записей.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_lateral_movement: PT-CR-227: RDP_Session_Hijacking: Обнаружен запуск утилиты "tscon", позволяющий выполнить перехват сеанса RDP mitre_attck_lateral_movement: PT-CR-787: RDP_Shadow_Session_Initiation: Обнаружен запуск утилиты mstsc.exe с флагом /shadow для создания теневого RDP-подключения hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя
Подтехники
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. RDP-сессии могут быть разделены на несколько потоков, поэтому их необходимо объединять. Обнаружение аномалий с помощью машинного обучения или других методов сравнения с профилем типовых сетевых потоков RDP может стать эффективным способом оповещения о потенциальном перехвате RDP-сессий. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах, в том числе RDP. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте создание служб с помощью команд с аргументами |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | По возможности отслеживайте процесс tscon.exe. Для перехвата сеанса RDP с помощью tscon.exe требуются права учетной записи SYSTEM. Поэтому рекомендуется также отслеживать техники повышения привилегий, которые могут сочетаться с перехватом сеансов RDP. Помимо tscon.exe, для перехвата текущих сеансов RDP аналогичным образом может использоваться процесс mstsc.exe. В этом случае рекомендуется отслеживать параметры командной строки |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Использование RDP может быть легитимным в зависимости от особенностей сетевой среды. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа. Событие в журнале безопасности Windows с ИД 4624 (вход с учетной записью выполнен успешно) генерируется при входе пользователя на удаленную машину с помощью RDP. Сопоставление событий создания сессий входа в систему с сетевыми потоками RDP может помочь лучше понять действия, связанные с RDP, и служить основой для анализа подозрительных RDP-соединений. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Не разрешайте удаленный доступ к службам под привилегированной учетной записью, если в этом нет необходимости. |
---|
ID | M1027 | Название | Парольные политики | Описание | Создайте и внедрите политику безопасных паролей для учетных записей. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Включите правила брандмауэра, чтобы блокировать ненужный трафик между зонами безопасности внутри сети. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Отключите службу удаленного доступа (например, SSH, RDP и т. д.), если она не нужна. |
---|