Главная страница » MITRE ATT&CK
0
4 дня
MITRE ATT&CK

MITRE ATT&CK T1021 - Службы удаленного доступа

MITRE ATT&CK

Влияние и масштабы кампаний кибер-атак в последние годы сильно возросли. Злоумышленники наносят значительный ущерб организациям, компрометируя множество систем и сетей в рамках одной атакующей кампании. Для захвата других систем в сети атакующим часто приходится использовать методы латерального перемещения.

Что такое служба удаленного доступа?

В корпоративной среде серверы и рабочие станции часто организованы в домены, которые обеспечивают централизованное управление идентификацией и позволяют пользователям входить в систему с единым набором учетных данных во всей сети. Если злоумышленнику удастся получить действительные учетные данные домена, он сможет войти в несколько систем с помощью удаленных служб.

Службы удаленного доступа специально разработаны для приема соединений от удаленных систем, что позволяет пользователям удаленно взаимодействовать с этими системами и управлять ими. Среди распространенных примеров Служб удаленного доступа можно назвать следующие:

  1. Telnet: Telnet - это протокол удаленного входа, который позволяет пользователям удаленно подключаться к серверу и отдавать команды так, как будто они физически присутствуют на консоли сервера. Telnet использует канал связи с открытым текстом, что делает его уязвимым для атак типа «человек посередине» и других видов перехвата.
  2. Secure Shell (SSH): SSH - это сетевой протокол, который позволяет пользователям безопасно подключаться к удаленной системе и выполнять команды так, как будто они физически присутствуют на консоли системы. SSH использует шифрование для защиты канала связи, что делает его более безопасным, чем Telnet.
  3. Протокол удаленного рабочего стола (RDP): RDP - это собственный протокол, разработанный компанией Microsoft, который позволяет пользователям удаленно подключаться к удаленной системе и управлять ею с помощью графического интерфейса. RDP обычно используется для удаленного доступа к системам Windows и использует шифрование для защиты канала связи.
  4. Virtual Network Computing (VNC): VNC - это протокол удаленного доступа, который позволяет пользователям удаленно подключаться к удаленной системе и управлять ею с помощью графического интерфейса. VNC доступен для многих платформ и использует шифрование для защиты канала связи.
  5. Remote Procedure Call (RPC): RPC - это протокол, позволяющий компьютерной программе вызывать подпрограмму или процедуру на другом компьютере в сети. RPC позволяет выполнять функции или методы на удаленной системе так, как если бы они были локальными, что позволяет другим системам общаться и обмениваться данными.
  6. Server Message Block (SMB): SMB - это сетевой протокол, обеспечивающий совместное использование ресурсов, таких как файлы, принтеры и последовательные порты, между компьютерами. Он используется в основном в средах Windows и позволяет клиентским системам получать доступ к ресурсам на сервере, как если бы они были локальными. Хотя SMB не является традиционной «службой удаленного доступа», как SSH и RDP, он может облегчить удаленный доступ к ресурсам на сервере.
  7. Distributed Component Object Model (DCOM): DCOM - это технология, обеспечивающая связь между программными компонентами на разных компьютерах в сети. Она позволяет объекту-клиенту на одном компьютере вызывать методы объекта-сервера на другом компьютере, используя технологию удаленного вызова процедур (RPC). Это позволяет выполнять функции или методы на удаленной системе так, как если бы они были локальными, что позволяет различным системам общаться и обмениваться данными. Хотя DCOM не является «удаленной службой», он обеспечивает связь между программными компонентами различных систем. Его можно использовать в сочетании с другими удаленными службами или как часть более крупной системы.
  8. Apple Remote Desktop (ARD): ARD - это программное обеспечение для удаленного управления, разработанное компанией Apple Inc. для macOS. ARD позволяет администраторам получать удаленный доступ к другим системам macOS в сети и управлять ими, а также включает в себя ряд инструментов и функций для управления и обслуживания этих систем. Для обеспечения удаленного доступа ARD использует несколько протоколов, включая VNC для передачи экрана и буферов управления и SSH для безопасной передачи файлов. Он может удаленно выполнять команды и скрипты, управлять обновлениями и установкой программного обеспечения, а также выполнять другие задачи на удаленных системах. Таким образом, ARD функционирует как удаленная служба, позволяя администраторам получать удаленный доступ к другим системам в сети и управлять ими.

MITRE ATT&CK T1021 Службы удаленного доступа

T1021 Техника удаленного доступа относится к эксплуатации удаленных служб для вредоносных действий. Злоумышленники могут использовать различные удаленные службы для получения доступа к системам в сети и контроля над ними в ходе атакующей кампании. Злоумышленники могут использовать эти службы для выполнения действий в качестве авторизованных пользователей, перемещения по сети и выполнения произвольного кода на удаленных системах.

Например, злоумышленник может использовать действительные учетные данные для входа в систему с помощью Telnet, SSH, RDP или VNC, а затем выполнить команды или сценарии на этой системе для сбора информации, установки вредоносного ПО или выполнения других вредоносных действий. Злоумышленники также могут использовать ARD или аналогичные средства удаленного управления для удаленного доступа и контроля над сетевыми системами, чтобы выполнить такие действия, как выполнение команд, передача файлов или установка программного обеспечения.

Помимо непосредственного использования этих служб, злоумышленники могут злоупотреблять другими протоколами и технологиями, такими как вызов удаленных процедур (RPC) и распределенная компонентная объектная модель (DCOM), для облегчения удаленного взаимодействия и выполнения функций или методов на удаленной системе.

В системе MITRE ATT&CK техника T1021 «Службы удаленного доступа» отнесена к тактике «Латеральное перемещение», и эта техника имеет семь подтехник:

  • T1021.001 Протокол удаленного рабочего стола
  • T1021.002 Общие SMB- и административные ресурсы Windows
  • T1021.003 Распределенная COM-модель
  • T1021.004 SSH
  • T1021.005 VNC
  • T1021.006 Служба удаленного управления Windows
  •  T1021.007 Облачные службы
Комментарии: 0
Похожие записи
0
2 дня
MITRE ATT&CK

MITRE ATT&CK T1021.006 - Службы удаленного доступа: Служба удаленного управления Windows

MITRE ATT&CK
Windows Remote Management (WinRM) - это служба и протокол, позволяющие пользователям взаимодействовать с удаленной системой, например запускать исполняемые файлы, изменять реестр и службы.
0
2 дня
MITRE ATT&CK

MITRE ATT&CK T1021.003 - Службы удаленного доступа: Распределенная COM-модель

MITRE ATT&CK
Распределенная COM-модель (Distributed Component Object Model, DCOM) - это технология Microsoft, обеспечивающая связь между программными компонентами, распределенными по сетевым компьютерам, с помощью удаленных вызовов процедур (RPC).