Windows Remote Management (WinRM) - это служба и протокол, позволяющие пользователям взаимодействовать с удаленной системой, например запускать исполняемые файлы, изменять реестр и службы. Ее можно вызвать с помощью команды winrm или таких программ, как PowerShell, и она часто используется как метод удаленного взаимодействия с Windows Management Instrumentation (WMI). Хотя WinRM является полезным инструментом для удаленного управления, злоумышленники могут злоупотреблять WinRM для бокового перемещения и удаленного выполнения кода.
Службы удаленного доступа: Служба удаленного управления Windows
Windows Remote Management (WinRM) - это инструмент командной строки и протокол управления в Windows, который позволяет администраторам удаленно выполнять команды на других системах с помощью протокола WS-Management. WinRM использует HTTP или HTTPS для передачи данных и может быть настроен на использование аутентификации Kerberos для дополнительной безопасности.
WinRM разработан как расширяемый инструмент и может использоваться с различными технологиями управления, включая Windows Management Instrumentation (WMI) и PowerShell. Она позволяет администраторам выполнять задачи удаленно, например, управлять службами, настраивать правила брандмауэра и изменять реестр.
WinRM может удаленно управлять системами в организации как по локальной сети, так и через Интернет. Это эффективный инструмент для управления большим количеством систем, позволяющий администраторам выполнять задачи удаленно, не посещая физически каждую систему.
WinRM включен по умолчанию в Windows Server 2008 и более поздних версиях, но не включен по умолчанию в клиентских версиях Windows. Его можно включить и настроить с помощью инструмента командной строки WinRM или через групповую политику.
Использование злоумышленниками удаленного управления Windows
Windows Remote Management (WinRM) позволяет администраторам выполнять команды и управлять системами и приложениями с помощью протокола WS-Management. WinRM используется для установления связи между локальной и удаленной системами и использует порты 5985 (HTTP-транспорт) и 5986 (HTTPS-транспорт) для связи.
WinRM - это мощный инструмент, который можно использовать для выполнения различных задач, таких как запуск исполняемых файлов, изменение реестра и модификация служб. Его можно вызвать с помощью команды winrm или таких программ, как PowerShell, и он часто используется как метод удаленного взаимодействия с Windows Management Instrumentation (WMI).
В серверных и клиентских версиях операционной системы Windows команда Enable-PSRemoting позволяет администраторам получить доступ к удаленной оболочке с помощью PowerShell для частных и доменных сетей через службу WinRM. Это позволяет администраторам удаленно выполнять команды и сценарии PowerShell, а также удаленно управлять и контролировать систему с помощью WMI.
Используя WinRM, атакующие могут использовать действительные учетные записи для удаленного выполнения команд на нескольких системах в сети, что позволяет им перемещаться в пределах организации. Например, для удаленного выполнения сценария на целевой системе можно использовать следующую команду:
| 1 | winrm -r:<удаленная_система> -u:<имя пользователя> -p:<пароль> "powershell.exe -File C:\path\to\script.ps1" |
Атакующие могут использовать WinRM для удаленного выполнения произвольного кода на целевой системе. Например, они могут использовать следующую команду для выполнения полезной нагрузки на удаленной системе:
| 1 | winrm -r:<удаленная_система> -u:<имя_пользователя> -p:<пароль> "powershell.exe -EncodedCommand <base64_encoded_payload>" |
Атакующие также могут использовать WinRM для удаленной модификации реестра целевой системы, что позволяет им вносить изменения, сохраняющиеся даже после перезагрузки.
Например, с помощью следующей команды можно добавить новое значение в реестр:
| 1 | winrm -r:<удаленная_система> -u:<имя_пользователя> -p:<пароль> "reg add HKLM\Software\Example /v Key /t REG_SZ /d Value" |