Links zu allen Teilen:Teil 1. Erstzugriff erhalten (Erstzugriff)Teil 2. AusführungTeil 3. Befestigung (Persistenz)Teil 4. Eskalation von BerechtigungenTeil 5. VerteidigungshinterziehungTeil 6. Abrufen von Anmeldeinformationen (Zugriff auf Anmeldeinformationen)Teil 7. EntdeckungTeil 8. Seitliche BewegungTeil 9. Datenerfassung (Erfassung)Teil 10 ExfiltrationTeil 11. Befehl und KontrolleSeitliche Bewegungstaktiken (
seitliche Bewegung - laterale, laterale, horizontale Bewegung ) umfassen Methoden, mit denen der Feind Zugriff auf und Kontrolle über entfernte Systeme erhält, die mit dem angegriffenen Netzwerk verbunden sind, und in einigen Fällen bösartige Tools auf verbundenen entfernten Systemen starten können zum angegriffenen Netzwerk. Durch die seitliche Netzwerkbewegung kann ein Angreifer Informationen von Remote-Systemen abrufen, ohne zusätzliche Tools wie RAT (Remote Access Utilities) verwenden zu müssen.
Der Autor ist nicht verantwortlich für die möglichen Folgen der Anwendung der im Artikel aufgeführten Informationen und entschuldigt sich auch für mögliche Ungenauigkeiten in einigen Formulierungen und Begriffen. Die veröffentlichten Informationen sind eine kostenlose Nacherzählung des Inhalts von MITRE ATT & CK .System: macOS
Rechte: Benutzer
Beschreibung: Die AppleScript-Sprache bietet die Möglichkeit, mit Apple Event - Nachrichten zu arbeiten, die im Rahmen der Interprozesskommunikation (IPC) zwischen Anwendungen ausgetauscht werden. Mit Apple Event können Sie mit fast jeder Anwendung interagieren, die lokal oder remote geöffnet ist, und Ereignisse wie das Öffnen von Fenstern und das Drücken von Tasten auslösen. Skripte werden mit dem folgenden Befehl ausgeführt:
Osascript -e [] .
Angreifer können AppleScript verwenden, um SSH-Verbindungen zu Remote-Hosts verdeckt zu öffnen und Benutzern gefälschte Dialoge zu ermöglichen. AppleScript kann auch bei häufigeren Arten von Angriffen verwendet werden, z. B. bei Reverse Shell-Organisationen.
Schutzempfehlungen: Obligatorische Überprüfung der Ausführung von AppleScript-Skripten für die Signatur eines vertrauenswürdigen Entwicklers.
System: Windows, Linux, MacOS
Beschreibung: Anwendungsbereitstellungstools, die von Unternehmensnetzwerkadministratoren verwendet werden, können von böswilligen Benutzern zum Installieren bösartiger Anwendungen verwendet werden. Die zum Ausführen dieser Schritte erforderlichen Berechtigungen hängen von der Systemkonfiguration ab: Für den Zugriff auf den Softwareinstallationsserver sind möglicherweise bestimmte Domänenanmeldeinformationen erforderlich, und lokale Berechtigungen sind möglicherweise ausreichend. Möglicherweise ist jedoch ein Administratorkonto erforderlich, um das Anwendungsinstallationssystem aufzurufen und den Bereitstellungsprozess zu starten System. Durch den Zugriff auf ein zentrales Installationssystem für Unternehmensanwendungen kann ein Gegner Code in allen Systemen des angegriffenen Netzwerks remote ausführen. Ein solcher Zugriff kann verwendet werden, um sich durch das Netzwerk zu bewegen, Informationen zu sammeln oder einen bestimmten Effekt zu erzielen, z. B. das Reinigen von Festplatten auf allen Hosts.
Sicherheitsempfehlungen: Lassen Sie nur eine begrenzte Anzahl autorisierter Administratoren auf Anwendungsbereitstellungssysteme zugreifen. Bieten Sie eine zuverlässige Isolierung und beschränken Sie den Zugriff auf kritische Netzwerksysteme mithilfe von Firewalls, beschränken Sie die Kontoberechtigungen, konfigurieren Sie Gruppensicherheitsrichtlinien und die Multi-Faktor-Authentifizierung. Stellen Sie sicher, dass die Daten von Konten, die Zugriff auf das Softwarebereitstellungssystem haben, eindeutig sind und nicht im gesamten Netzwerk verwendet werden. Installieren Sie regelmäßig Patches und Updates auf Anwendungsinstallationssystemen, um zu verhindern, dass diese durch Ausnutzung von Sicherheitslücken unbefugten Remotezugriff erhalten. Wenn das Anwendungsinstallationssystem so konfiguriert ist, dass nur signierte Binärdateien verteilt werden, stellen Sie sicher, dass sich vertrauenswürdige Signaturzertifikate nicht darauf befinden, sondern auf einem System gespeichert sind, auf das nicht remote zugegriffen werden kann oder das eingeschränkt und gesteuert wird.
System: Windows
Rechte: Administrator, System
Beschreibung: DCOM ist ein Protokoll, das die Funktionalität des Component Object Model (COM) erweitert und es Softwarekomponenten ermöglicht, nicht nur innerhalb des lokalen Systems, sondern auch über das Netzwerk mithilfe der RPC-Technologie (Remote Procedure Call) mit Anwendungskomponenten anderer Systeme zu interagieren. COM ist eine Komponente der Windows-API. Über COM kann ein Clientobjekt eine Serverobjektmethode aufrufen, normalerweise DLLs oder EXE-Dateien. Berechtigungen zur Interaktion mit einem lokalen oder Remote-Server-COM-Objekt werden mithilfe von ACLs in der Registrierung definiert. Standardmäßig können nur Administratoren COM-Objekte über DCOM remote aktivieren und ausführen.
Feinde können DCOM verwenden, um sich seitwärts über das Netzwerk zu bewegen. Über DCOM kann ein Angreifer, der im Kontext eines Benutzers mit den entsprechenden Berechtigungen arbeitet, beliebigen Code über Office-Anwendungen und andere Windows-Objekte, die unsichere Methoden enthalten, remote ausführen. DCOM kann auch Makros in vorhandenen Dokumenten ausführen und Dynamic Data Exchange (DDE) direkt über ein in Microsoft Office erstelltes COM-Objekt aufrufen, ohne dass ein schädliches Dokument erstellt werden muss. DCOM kann einem Gegner auch Funktionen bereitstellen, die in anderen Phasen des Angriffs verwendet werden können, z. B. bei der Eskalation von Berechtigungen oder beim Fixieren des Zugriffs.
Schutzempfehlungen: Konfigurieren Sie mithilfe der Registrierung individuelle Sicherheitseinstellungen für COM-Anwendungen: Code> HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ AppID.
Deaktivieren Sie die DCOM-Unterstützung mit dem Dienstprogramm
dcomcnfg.exe oder in der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM=SZ:NAktivieren Sie die Windows-Firewall, die standardmäßig verhindert, dass DCOM-Instanzen erstellt werden. Aktivieren Sie die sichere Anzeige und Benachrichtigung über den Start von COM-Objekten in MS Office-Dokumenten.
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Um beliebigen Code auszuführen, können Angreifer Exploits verwenden, die Fehler in Programmen, Diensten, Betriebssystemsoftware oder sogar im Kernel des Betriebssystems verwenden. Der Zweck der Ausnutzung von Schwachstellen von Remotediensten nach dem ersten Kompromiss besteht darin, Remotezugriff auf Systeme bereitzustellen, die sich im Netzwerk bewegen.
Zuvor musste der Gegner Systeme mit Schwachstellen identifizieren. Dies kann durch Scannen von Netzwerkdiensten oder anderen
Erkennungsmethoden erfolgen , z. B. durch Suchen nach häufig anfälliger Software und fehlenden Patches, die auf das Vorhandensein von Sicherheitslücken hinweisen, oder durch Suchen nach Sicherheitstools, mit denen die Remote-Ausnutzung von Sicherheitslücken erkannt und blockiert wird. Server sind höchstwahrscheinlich ein wertvolles Ziel für die Navigation im Netzwerk. Workstations sind jedoch auch gefährdet, wenn sie dem Gegner einen Vorteil oder Zugriff auf zusätzliche Ressourcen bieten.
Sicherheitslücken sind in gemeinsam genutzten Diensten wie SMB, RDP sowie in Anwendungen bekannt, die in internen Netzwerken wie MySQL und Webserverdiensten verwendet werden können. Abhängig von den Berechtigungen des anfälligen Dienstes kann ein Gegner zusätzlich eine Eskalation von Berechtigungen durch eine seitliche Verschiebung erhalten.
Sicherheitstipps: Segmentieren Sie Netzwerke und Systeme, um den Zugriff auf kritische Systeme und Dienste zu reduzieren. Minimieren Sie die Verfügbarkeit von Diensten, indem Sie Rechte nur denen gewähren, die sie benötigen. Überprüfen Sie Ihr internes Netzwerk regelmäßig auf neue und potenziell anfällige Dienste. Minimieren Sie die Berechtigungen und den Zugriff für Dienstkonten, um die Abdeckung einzuschränken.
Aktualisieren Sie die Software regelmäßig und implementieren Sie den Prozess der Verwaltung der Installation von Anwendungspatches auf internen Hosts und Servern. Entwickeln Sie Verfahren zur Analyse von Cyber-Bedrohungen, um die Arten und Ebenen von Bedrohungen zu bestimmen, bei denen Exploits gegen Ihr Unternehmen eingesetzt werden können, einschließlich Exploits von Zero-Day-Schwachstellen. Verwenden Sie Sandkästen, um es dem Feind zu erschweren, Operationen mit unbekannten oder nicht korrigierten Sicherheitslücken durchzuführen. Andere Arten der Mikrosegmentierung und Anwendungsvirtualisierung können ebenfalls die Auswirkungen bestimmter Arten von Exploits abschwächen. Sicherheitssoftware wie Windows Defender Exploit Guard (WDEG) und Enhanced Mitigation Experience Toolkit (EMET), die das Verhalten bei der Ausnutzung von Sicherheitslücken ermitteln sollen, können zum Schutz vor Exploits verwendet werden.
Die Überprüfung der Integrität des Kontrollflusses ist eine weitere Möglichkeit, die Ausnutzung von Software-Schwachstellen zu identifizieren und zu blockieren. Viele der aufgeführten Sicherheitsfunktionen funktionieren möglicherweise nicht für alle Programme und Dienste. Die Kompatibilität hängt von der Architektur und der Binärdatei der Zielanwendung ab.
Abhängig von den verfügbaren Tools kann es schwierig sein, die Ausnutzung von Sicherheitslücken durch die verteidigende Partei zu erkennen. Software-Exploits sind möglicherweise nicht immer erfolgreich oder führen zu einem instabilen Betrieb oder einer abnormalen Beendigung des angegriffenen Prozesses. Achten Sie auf Kompromissindikatoren, z. B. abnormales Verhalten von Prozessen, das Auftreten verdächtiger Dateien auf der Festplatte, ungewöhnlichen Netzwerkverkehr, Anzeichen für das Auslösen von Erkennungstools und Prozessinjektionen.
System: Windows, MacOS
Beschreibung: Ein Gegner kann die Möglichkeit nutzen, neue Anmeldeskripts zu erstellen oder vorhandene anzumelden - Skripte, die ausgeführt werden, wenn sich ein bestimmter Benutzer oder eine bestimmte Benutzergruppe am System anmeldet. Wenn ein Angreifer Zugriff auf ein Anmeldeskript auf einem Domänencontroller erhalten hat, kann er es so ändern, dass Code auf allen Systemen in der Domäne ausgeführt wird, um sich seitwärts über das Netzwerk zu bewegen. Abhängig von den Berechtigungen der Anmeldeskripts sind möglicherweise lokale oder administrative Anmeldeinformationen erforderlich.
Auf einem Mac können Anmeldeskripte (
Login / Logout Hook ) im Gegensatz zum Login Item, die im Kontext des Benutzers ausgeführt werden, als root ausgeführt werden.
Sicherheitsempfehlungen: Einschränken der Administratorrechte zum Erstellen von Anmeldeskripten. Identifizierung und Blockierung potenziell gefährlicher Software, mit der Anmeldeszenarien geändert werden können. Windows AppLocker blockiert möglicherweise den Start unbekannter Programme.
System: Windows
Beschreibung: Pass the Hash (PtH) ist eine Methode zur Authentifizierung eines Benutzers ohne Zugriff auf sein Kennwort in klarer Form. Die Methode besteht darin, die Standardauthentifizierungsschritte zu umgehen, für die ein Kennwort erforderlich ist, und direkt zu dem Teil der Authentifizierung zu wechseln, der den Kennwort-Hash verwendet. Die Hashes von echten Passwörtern werden vom Gegner mithilfe von Zugriffstechniken für Anmeldeinformationen erfasst. Anschließend werden die Hashes für die PtH-Authentifizierung verwendet, mit der Aktionen auf lokalen oder Remote-Systemen ausgeführt werden können.
Um den Pass the Hash-Angriff unter Windows 7 und höher mit installiertem
KB2871997- Update
auszuführen , benötigen
Sie gültige Domänenbenutzeranmeldeinformationen oder Administrator-Hashes (RID 500).
Schutzempfehlungen: Überwachen Sie System- und Domänenprotokolle, um ungewöhnliche Aktivitäten von Kontoanmeldungen zu identifizieren. Verhindern Sie den Zugriff auf vorhandene Konten. Installieren Sie auf Systemen unter Windows 7 und höher den Hotfix KB2871997, um den Zugriff auf Konten in den lokalen Standardadministratorgruppen einzuschränken.
Deaktivieren Sie den Remote-Start der Benutzerkontensteuerung, wenn sich ein Benutzer über das Netzwerk anmeldet, indem Sie den entsprechenden Schlüssel in den Registrierungs- oder Gruppenrichtlinien bearbeiten, um die Möglichkeit der Implementierung von Pass the Hash zu minimieren.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPoliceGPO:Computer Configuration > [Policies] > Administrative Templates > SCM: Pass the Hash Mitigation: Apply UAC restriction to local accounts on network logonsBegrenzen Sie das Zusammentreffen von Konten in verschiedenen Systemen, um deren Kompromisse zu verhindern und die Fähigkeit des Feindes zu verringern, sich zwischen Systemen zu bewegen. Stellen Sie sicher, dass die integrierten und erstellten Anmeldeinformationen lokaler Administratoren komplexe eindeutige Kennwörter haben. Erlauben Sie einem Domänenbenutzer nicht, Mitglied der lokalen Administratorgruppe auf mehreren Systemen zu sein. Um Pass the Hash-Angriffe zu erkennen, wird eine Überprüfung aller Anmelde- und Anmeldeinformationsereignisse mit Diskrepanzprüfung durchgeführt (z. B. wurde ein Konto gleichzeitig auf mehreren Systemen verwendet). Ungewöhnliche Anmeldungen im Zusammenhang mit verdächtigen Aktivitäten (z. B. Erstellen und Ausführen von Binärdateien) können ebenfalls auf böswillige Aktivitäten hinweisen. Authentifizierungsereignisse vom Typ NTLM LogonType 3 (Netzwerkeingabe), die nicht mit Domänen- und nicht anonymen Konten (Benutzer mit SID S-1-5-7) zusammenhängen, sollten ebenfalls verdächtig sein.
System: Windows
Beschreibung: Pass the Ticket (PtT) ist eine Kerberos-Ticketauthentifizierungsmethode ohne Zugriff auf ein Kontokennwort. Die Kerberos-Authentifizierung kann als erster Schritt zum Verschieben eines Gegners auf ein Remote-System verwendet werden.
Während der PtT werden gültige Kerberos-Tickets für vorhandene Konten vom Gegner mithilfe von
Dumping-Techniken für Anmeldeinformationen erfasst. Abhängig von der Zugriffsebene können User Service Tickets oder Ticket Granting Tickets (TGTs) bezogen werden. Ein Serviceticket ermöglicht den Zugriff auf eine bestimmte Ressource, während ein TGT verwendet werden kann, um Servicetickets von einem Ticketdienst (TGS) anzufordern, um auf eine Ressource zuzugreifen, auf die ein Benutzer Zugriff hat.
Silver Ticket (Fake TGS) kann für Dienste bezogen werden, die Kerberos als Authentifizierungsmechanismus verwenden, und wird zum Generieren von Tickets für den Zugriff auf eine bestimmte Ressource und das System, in dem sich die Ressource befindet (z. B. SharePoint), verwendet.
Das Goldene Ticket (Kerberos-Ticket für den uneingeschränkten Zugriff auf Ressourcen im Kontext eines Benutzers, einschließlich nicht vorhandener Benutzer) kann mithilfe des NTLM-Hash des Schlüsselverteilungsdienstkontos KRBTGT abgerufen werden, mit dem TGT für jedes Konto in AD generiert werden kann.
Schutzempfehlungen: Überwachen Sie das System auf ungewöhnliche Anmeldeinformationen. Beschränken Sie den systemübergreifenden Abgleich von Anmeldeinformationen, um Schäden im Falle eines Kompromisses zu vermeiden. Stellen Sie sicher, dass lokale Administratorkonten über komplexe, eindeutige Kennwörter verfügen. Erlauben Sie dem Benutzer nicht, der lokale Administrator mehrerer Systeme zu sein. Beschränken Sie die Berechtigungen für Domänenadministratorkonten für Domänencontroller und eingeschränkte Server. Delegieren Sie andere Administratorfunktionen an einzelne Konten.
Um dem zuvor generierten Gold Ticket entgegenzuwirken, setzen Sie das Passwort des integrierten KRBTGT-Kontos zweimal zurück. Dadurch werden alle Golden Tickets ungültig, die mit dem KRBTGT-Passwort-Hash und anderen von Golden Ticket erhaltenen Kerberos-Tickets erstellt wurden.
Versuchen Sie mithilfe von Whitelist-Tools für Anwendungen wie Applocker oder
Software Restriction Policies, unbekannte oder schädliche Software zu identifizieren und zu blockieren, die zum Empfangen von Kerberos-Tickets und zur weiteren Authentifizierung verwendet werden kann.
Um PtT-Angriffe zu erkennen, empfehlen wir, alle Kerberos-Authentifizierungsereignisse zu überwachen und Anmeldeinformationen mit Diskrepanzanalyse zu verwenden. Ungewöhnliche Remote-Authentifizierungsereignisse, die mit anderen verdächtigen Aktivitäten korrelieren (z. B. Schreiben und Ausführen von Binärdateien), können als Indikator für böswillige Aktivitäten dienen.
Die Ereignis-ID4769 wird auf einem Domänencontroller generiert, wenn Golden Ticket nach einem doppelten Zurücksetzen des KRBTGT-Kennworts verwendet wird. Der Statuscode 0x1F zeigt eine nicht erfolgreiche Integritätsprüfung des verschlüsselten Felds an und zeigt einen Versuch an, ein ungültiges Goldenes Ticket zu verwenden.
System: Windows
Rechte: Remotedesktopbenutzer, Benutzer
Beschreibung: Remotedesktop ist eine typische Funktion von Betriebssystemen, mit der sich ein Benutzer bei einer interaktiven Sitzung mit einer grafischen Oberfläche auf einem Remotecomputer anmelden kann. Microsoft nennt die Implementierung des RDP-Protokolls
Remote Desktop Servoce (RDS) . Es gibt andere Implementierungen und Tools von Drittanbietern, die grafischen Zugriff auf Remotedienste wie RDS ermöglichen. Gegner können über RDP / RDS eine Verbindung zum Remote-System herstellen, um den Zugriff zu erweitern, wenn der entsprechende Dienst aktiviert ist und dem Angreifer den Zugriff mit bekannten Anmeldeinformationen ermöglicht. Zuvor wird der Gegner wahrscheinlich
Techniken zum
Zugriff auf Anmeldeinformationen
verwenden , um Anmeldeinformationen zu erhalten, die mit RDP verwendet werden können. Gegner können RDP auch in Kombination mit der Windows Accessibility Abuse-Technik verwenden, um sich im System zu sichern.
Ein Angreifer könnte auch versuchen, RDP-Sitzungen mit Remote-Sitzungen legitimer Benutzer zu entführen. Wenn Sie versuchen, eine Sitzung zu stehlen, erhält der Benutzer normalerweise eine Benachrichtigung und eine Bestätigungsanforderung. Mit Berechtigungen auf Systemebene über die Terminaldienstekonsole können Sie die Sitzung jedoch abfangen, ohne Anmeldeinformationen
C:\Windows\system32\tscon.exe [ , ] und den Benutzer zu bestätigen:
C:\Windows\system32\tscon.exe [ , ] .
Dies kann remote oder lokal mit aktiven oder abgebrochenen Sitzungen erfolgen. Es kann auch zu einer Eskalation von Berechtigungen führen, indem eine Domänenadministratorsitzung oder ein privilegierterer Benutzer entführt wird. All dies kann mithilfe der integrierten Windows-Befehle ausgeführt werden, oder die entsprechenden Funktionen können zu den Tools für das Pentesting hinzugefügt werden, z. B.
RedSnarf .
Schutzempfehlungen
: Deaktivieren Sie den RDP-Dienst, wenn er nicht benötigt wird, löschen Sie nicht benötigte Konten und Gruppen aus der Gruppe
Remotedesktopbenutzer und aktivieren Sie die RDP-Verkehrsblockierungsregel zwischen Sicherheitszonen in der Firewall. Überprüfen Sie regelmäßig die Mitglieder der Gruppe Remotedesktopbenutzer. Entfernen Sie die Administratorgruppe aus der Liste der Gruppen, die sich über RDP anmelden dürfen. Wenn Remotezugriff erforderlich ist, beschränken Sie die Rechte des Remotebenutzers. Verwenden Sie
Remotedesktop-Gateways und Multi-Faktor-Authentifizierung für die Remoteanmeldung. Lassen Sie RDP nicht über das Internet zugänglich. Ändern Sie das Gruppenrichtlinienobjekt, indem Sie Zeitüberschreitungen und die maximale Zeit definieren, die eine Remotesitzung aktiv sein kann. Ändern Sie das Gruppenrichtlinienobjekt, um die maximale Zeit anzugeben, die die getrennte Remotesitzung auf dem Hostserver aktiv bleibt.
Aufgrund der Tatsache, dass die Verwendung von RDP ein rechtmäßiger Prozess sein kann, können Indikatoren für böswillige Aktivitäten Zugriffsmuster und Aktionen sein, die nach einer Remote-Anmeldung auftreten, z. B. Benutzer, die sich bei Systemen anmelden, auf die sie normalerweise nicht zugreifen, oder sich bei mehreren Systemen anmelden relativ kurze Zeit. Um das Abfangen von RDP-Sitzungen zu verhindern, wird empfohlen, die Verwendung von tscon.exe zu überwachen und Dienste zu erstellen, die cmd.exe /kbeide cmd.exe /cin ihren Argumenten verwenden.System: Windows, Linux, macOSRechte: BenutzerBeschreibung:Dateien können von einem System auf ein anderes kopiert werden, um während eines Vorgangs feindliche Tools oder andere Dateien bereitzustellen. Dateien können von einem externen System, das von einem Angreifer gesteuert wird, über den C & C-Kanal oder mithilfe anderer Tools unter Verwendung alternativer Protokolle wie FTP kopiert werden. Dateien können auch mit integrierten Tools wie scp, rsync, sftp auf Mac und Linux kopiert werden. Feinde können Dateien auch seitlich zwischen internen Opfersystemen kopieren, um die Netzwerkbewegung und die Ausführung von Remotebefehlen zu unterstützen. Dies kann mithilfe von Dateifreigabeprotokollen erfolgen, indem Netzwerkressourcen über SMB verbunden werden oder authentifizierte Verbindungen zu Windows Admin Shares oder RDP verwendet werden.Schutzempfehlungen:Verwendung von IDS / IPS-Systemen, die Signaturen verwenden, um böswilligen Datenverkehr oder ungewöhnliche Datenübertragungen über bekannte Tools und Protokolle wie FTP zu identifizieren, mit denen die Aktivität auf Netzwerkebene reduziert werden kann. Signaturen werden normalerweise verwendet, um eindeutige Protokollindikatoren zu erkennen. Sie basieren auf einer bestimmten Verschleierungstechnik, die von einem bestimmten Angreifer oder Tool verwendet wird, und sind höchstwahrscheinlich für verschiedene Familien und Versionen von Malware unterschiedlich. Angreifer ändern wahrscheinlich die Signatur der C2-Tools oder erstellen Protokolle, um die Erkennung durch bekannte Sicherheitstools zu vermeiden.Zur Erkennung wird empfohlen, die Erstellung und Übertragung von Dateien über das Netzwerk über SMB zu überwachen. Ungewöhnliche Prozesse mit externen Netzwerkverbindungen, die Dateien im System erstellen, können verdächtig sein. Die atypische Verwendung von Dienstprogrammen wie FTP kann ebenfalls verdächtig sein. Es wird auch empfohlen, Netzwerkdaten auf ungewöhnliche Datenströme zu analysieren. Beispielsweise sendet der Client erheblich mehr Daten, als er vom Server empfängt. Netzwerkprozesse, die normalerweise keine Netzwerkverbindung haben, sind ebenfalls verdächtig. Untersuchen Sie den Inhalt des Pakets, um Verbindungen zu finden, die nicht mit dem verwendeten Protokoll und Port übereinstimmen.System: Windows, Linux, macOSBeschreibung: Angreifer können sich mit gültigen Konten bei einem Dienst anmelden, der Netzwerkverbindungen wie Telnet, SSH oder VNC akzeptiert. Danach kann der Gegner Aktionen im Namen des angemeldeten Benutzers ausführen.Sicherheitsüberlegungen: Begrenzen Sie die Anzahl der Konten, die Remotedienste verwenden können. Verwenden Sie nach Möglichkeit die Multi-Faktor-Authentifizierung. Beschränken Sie die Berechtigungen für Konten, bei denen ein höheres Risiko für Kompromisse besteht. Konfigurieren Sie beispielsweise SSH so, dass Benutzer nur bestimmte Programme ausführen können. Verhindern Sie Zugriffstechniken für AnmeldeinformationenDadurch kann ein Angreifer möglicherweise gültige Anmeldeinformationen erwerben. Verknüpfen Sie die mit den Remotediensten verknüpfte Anmeldeverwendungsaktivität mit ungewöhnlichem Verhalten oder anderen böswilligen oder verdächtigen Aktivitäten. Bevor ein Angreifer versucht, das Netzwerk weiterzuentwickeln, muss er höchstwahrscheinlich mithilfe von Erkennungstechniken die Umgebung und die Beziehungen zwischen Systemen kennenlernen .System: WindowsBeschreibung: Bei dieser Technik wird ein Schadprogramm mithilfe der Autorun-Funktion in Windows ausgeführt. Um den Benutzer zu täuschen, kann eine „legitime“ Datei vorab geändert oder ersetzt und dann von einem Angreifer auf ein Wechselmedium kopiert werden. Die Nutzdaten können auch in der Firmware des Wechseldatenträgers oder über das anfängliche Medienformatierungsprogramm implementiert werden.Schutzempfehlungen: Deaktivieren der Autorun-Funktionen in Windows. Einschränkung der Verwendung von Wechselmedien auf der Ebene der Sicherheitsrichtlinien des Unternehmens. Anwendung von Antivirensoftware.System: macOS, LinuxBeschreibung:Secure Shell (SSH) ist ein Standard-Remotezugriffstool unter Linux und MacOS, mit dem ein Benutzer über einen verschlüsselten Tunnel eine Verbindung zu einem anderen System herstellen kann, normalerweise mit Kennwort-, Zertifikat- oder asymmetrischen Verschlüsselungsschlüsselpaaren. Um von einem kompromittierten Host aus durch das Netzwerk zu gelangen, können Gegner Vertrauensbeziehungen zu anderen Systemen durch Authentifizierung mit öffentlichem Schlüssel in aktiven SSH-Sitzungen nutzen, indem sie eine vorhandene Verbindung mit einem anderen System abfangen. Dies kann auf einen Kompromiss des SSH-Agenten selbst oder auf den Zugriff auf den Agent-Socket zurückzuführen sein. Wenn der Gegner Root-Zugriff im System erhalten kann, ist die weitere Erfassung von SSH-Sitzungen eine triviale Aufgabe. Das Kompromittieren eines SSH-Agenten fängt auch SSH-Anmeldeinformationen ab.Die SSH-Hijacking-Technik unterscheidet sich von der Remote Services-Technik, da sie in eine vorhandene SSH-Sitzung integriert wird, anstatt eine neue Sitzung mit gültigen Konten zu erstellen.:Stellen Sie sicher, dass SSH-Schlüsselpaare sichere Kennwörter haben, und verwenden Sie keine Schlüsselspeichertechnologien wie ssh-agent, wenn diese nicht ordnungsgemäß geschützt sind. Stellen Sie sicher, dass alle privaten Schlüssel sicher an Orten gespeichert sind, auf die nur der rechtmäßige Eigentümer mit einem komplexen, häufig geänderten Kennwort zugreifen kann. Stellen Sie sicher, dass die Dateiberechtigungen korrekt sind, und stärken Sie das System, um zu verhindern, dass Root-Berechtigungen erhöht werden. Erlauben Sie keinen Remotezugriff über SSH mit Root-Rechten oder anderen privilegierten Konten. Stellen Sie sicher, dass die Agentenweiterleitung auf Systemen deaktiviert ist, auf denen dies nicht ausdrücklich erforderlich ist. In Anbetracht der Tatsache, dass die Verwendung von SSH an sich legitim sein kann, abhängig von der Netzwerkumgebung und der Art und Weise, wie es verwendet wird,Indikatoren für den verdächtigen oder böswilligen Einsatz von SSH können verschiedene Muster für den Zugang und das nachfolgende Verhalten sein. Zum Beispiel Konten, die sich bei Systemen anmelden, auf die sie normalerweise für kurze Zeit nicht zugreifen oder die keine Verbindung zu mehreren Systemen herstellen. Es wird außerdem empfohlen, die Socket-Dateien von Benutzer-SSH-Agenten zu verfolgen, die von verschiedenen Benutzern verwendet werden.System: WindowsBeschreibung:Ein Gegner kann schädliche Inhalte auf einer Website platzieren, die über ein öffentliches Webroot-Verzeichnis oder ein anderes öffentliches Verzeichnis für die Bereitstellung von Webinhalten im internen Segment des Netzwerks verfügt, und dann mit einem Webbrowser zu diesen Inhalten navigieren, um den Server zur Ausführung zu zwingen. In der Regel werden böswillige Inhalte im Kontext des Webserverprozesses gestartet. Abhängig von der Konfiguration des Webservers führt dies häufig zu lokalen System- oder Administratorrechten. Ein solcher Mechanismus zum Freigeben und Ausführen von Remotecode kann verwendet werden, um auf ein System zu wechseln, auf dem ein Webserver ausgeführt wird. Beispielsweise kann ein Angreifer auf einem Webserver, auf dem PHP mit einer öffentlichen Webroot ausgeführt wird, RAT-Tools auf das Betriebssystem des Webservers herunterladen, wenn er eine bestimmte Seite besucht.Schutzempfehlungen:Netzwerke, in denen Benutzer offene Entwicklungen durchführen, Inhalte testen und ihre eigenen Webserver starten dürfen, sind besonders anfällig, wenn die Systeme und Webserver nicht ordnungsgemäß geschützt sind: Die Verwendung privilegierter Konten ist unbegrenzt, der Zugriff auf Netzwerkressourcen ist ohne Authentifizierung möglich und auch nicht Netzwerkisolation des Netzwerks / Systems. Stellen Sie sicher, dass die Berechtigungen für Verzeichnisse, auf die über den Webserver zugegriffen werden kann, korrekt sind. Verweigern Sie den Remotezugriff auf das Stammverzeichnis (Webroot) der Site oder andere Verzeichnisse, die zur Bereitstellung von Webinhalten verwendet werden. Deaktivieren Sie die Ausführung in Webroot-Verzeichnissen. Stellen Sie sicher, dass die Berechtigungen des Webserverprozesses nur die erforderlichen sind. Verwenden Sie keine integrierten Konten, sondern erstellen Sie bestimmte Konten, um unnötigen Zugriff einzuschränken oder Berechtigungen auf mehreren Systemen zu kreuzen.Verwenden Sie die Prozessüberwachung, um festzustellen, wann Dateien von einem für einen Webserver nicht normalen Prozess auf einen Webserver geschrieben wurden oder wann Dateien außerhalb von Verwaltungszeiträumen geschrieben wurden. Verwenden Sie die Prozessüberwachung, um normale Prozesse zu ermitteln und anschließend abnormale Prozesse zu erkennen, die normalerweise nicht auf dem Webserver ausgeführt werden.System: Windows-Rechte: BenutzerBeschreibung: Der Inhalt von öffentlichen Netzwerklaufwerken und anderen Speichern kann durch Hinzufügen von Schadprogrammen, Skripten oder Exploit-Code zu gehosteten Dateien beschädigt werden. Sobald der Benutzer den beschädigten Inhalt öffnet, kann der schädliche Teil ausgeführt werden, um den schädlichen Code auf dem Remote-System zu starten. Gegner können die obige Methode zum seitlichen Vorschieben verwenden.Es gibt eine andere Art von Technik, die verschiedene andere Methoden zur Verbreitung von Malware verwendet, wenn Benutzer Zugriff auf ein freigegebenes Netzwerkverzeichnis erhalten. Im Wesentlichen werden Verknüpfungen geändert ( Verknüpfungsänderung)) Verzeichnisse (.lnk) mit Maskerading, sodass die Beschriftungen wie echte Verzeichnisse aussehen, die zuvor ausgeblendet wurden. Malicious .lnk verfügt über einen integrierten Befehl, der eine versteckte bösartige Datei ausführt und dann das vom Benutzer erwartete reale Verzeichnis öffnet. Die Implementierung dieser Technik in häufig verwendeten Netzwerkverzeichnissen kann zu häufigen wiederholten Infektionen führen und infolgedessen dazu, dass ein Angreifer umfassenden Zugriff auf Systeme und möglicherweise auf neue, privilegiertere Konten erhält.Schutzempfehlungen:Schützen Sie freigegebene Ordner, indem Sie die Anzahl der Benutzer mit Schreibberechtigungen minimieren. Verwenden Sie Dienstprogramme, die Exploits beim ersten Anzeichen erkennen oder verhindern können, z. B. das Microsoft Mitigation Experience Toolkit (EMET). Reduzieren Sie das potenzielle Risiko einer seitlichen Werbung, indem Sie webbasierte Dokumentverwaltungs- und Kollaborationsdienste verwenden, die keine Datei- und Verzeichnisfreigabe verwenden.Identifizieren und blockieren Sie potenziell gefährliche und schädliche Software, mit der Inhalte mithilfe von Tools wie AppLocker oder Software Restriction Policies beschädigt werden können .Es wird empfohlen, häufig freigegebene Netzwerkverzeichnisse nach schädlichen Dateien, versteckten .LNK-Dateien und anderen Dateitypen zu durchsuchen, die für ein bestimmtes Verzeichnis nicht typisch sind. Der Verdacht sollte durch Prozesse verursacht werden, die viele Dateien in ein gemeinsames Netzwerkverzeichnis schreiben oder überschreiben, sowie durch Prozesse, die von Wechselmedien ausgeführt werden.System: Windows, Linux, macOSRechte: Benutzer, Administrator, Systembeschreibung: Software und Softwarebereitstellungssysteme von Drittanbietern (SCCM, VNC, HBSS, Altris usw.), die im Netzwerk für Verwaltungszwecke verwendet werden, können von einem Angreifer zur Remote-Ausführung verwendet werden Code auf allen Hosts, die mit solchen Systemen verbunden sind. Die zur Implementierung dieser Technik erforderlichen Rechte hängen von der jeweiligen Systemkonfiguration ab. Lokale Anmeldeinformationen können ausreichen, um auf den Softwarebereitstellungsserver zuzugreifen. Zum Starten der Softwarebereitstellung ist jedoch möglicherweise ein Administratorkonto erforderlich.Schutzempfehlungen:Überprüfen Sie die Sicherheitsstufe Ihrer Softwarebereitstellungssysteme. Stellen Sie sicher, dass der Zugriff auf Softwareverwaltungssysteme eingeschränkt, kontrolliert und geschützt ist. Verwenden Sie strikt die obligatorischen Vorabgenehmigungsrichtlinien für die Remote-Softwarebereitstellung. Bieten Sie einer begrenzten Anzahl von Administratoren Zugriff auf Softwarebereitstellungssysteme, und stellen Sie die Isolation des Softwarebereitstellungssystems sicher. Stellen Sie sicher, dass die Anmeldeinformationen für den Zugriff auf das Softwarebereitstellungssystem eindeutig sind und nicht in anderen Diensten im Unternehmensnetzwerk verwendet werden. Wenn das Softwarebereitstellungssystem so konfiguriert ist, dass nur signierte Binärdateien ausgeführt werden, stellen Sie sicher, dass vertrauenswürdige Zertifikate nicht im Softwarebereitstellungssystem selbst gespeichert sind, sondern sich auf einem System befinden, auf das nicht remote zugegriffen werden kann.System: Windows-Rechte: BenutzerBeschreibung: Windows-Systeme verfügen über versteckte Netzwerkordner, auf die nur Administratoren zugreifen können, und bieten die Möglichkeit, Dateien und andere Verwaltungsfunktionen remote zu kopieren. Beispiele für Windows Admin-Freigaben: C $, ADMIN $, IPC $.Gegner können diese Technik in Kombination mit vorhandenen Konten auf Administratorebene für den Remotezugriff auf das System über Server Messege Block (SMB) verwenden, mit Systemen über RPC interagieren, Dateien übertragen und migrierte Binärdateien mithilfe von Ausführungstechniken ausführen. Beispiele für Ausführungsmethoden, die auf authentifizierten Sitzungen über SMB / RPC basieren, sind geplante Aufgaben, Startdienste und WMI. Gegner können auch NTLM-Hashes verwenden, um über Pass-the-Hash auf Admin-Freigaben zuzugreifen. Mit dem Befehl net use mit gültigen Anmeldeinformationen kann das Remote-System mit Windows Admin Shares verbunden werden.Schutzempfehlungen: Verwenden Sie nicht dieselben Kennwörter für lokale Administratorkonten auf verschiedenen Systemen. Stellen Sie sicher, dass Kennwörter komplex und eindeutig sind, damit sie nicht erraten oder geknackt werden können. Deaktivieren Sie die Remote-Anmeldung beim integrierten lokalen Administratorkonto. Erlauben Sie Benutzerkonten nicht, Mitglieder der lokalen Administratorgruppe mehrerer Systeme zu sein.Identifizieren und blockieren Sie potenziell gefährliche und schädliche Software, die zum Betreiben von SMB- und Admin-Freigaben mithilfe von AppLocker- oder Softwareeinschränkungsrichtlinien verwendet werden kann .Bereitstellung einer zentralen Erfassung und Speicherung von Anmeldeinformationen. Mit der Windows-Ereignisweiterleitung können Sie Daten über die erfolgreiche / erfolglose Verwendung von Konten erfassen, die zum Navigieren im Netzwerk verwendet werden können. Verfolgen Sie die Aktionen von Remotebenutzern, die eine Verbindung zu Admin-Freigaben herstellen. Verfolgen Sie die Verwendung von Tools und Befehlen, mit denen eine Verbindung zu Netzwerkfreigaben hergestellt wird, z. B. das Dienstprogramm Net, oder suchen Sie nach Systemen, auf die remote zugegriffen werden kann.System: Windows-Rechte: Benutzer, AdministratorBeschreibung: WinRM ist der Name eines Dienstes und Protokolls, das die Interaktion des Remotebenutzers mit dem System ermöglicht (z. B. Starten einer Datei, Ändern der Registrierung, Ändern eines Dienstes. Verwenden Sie zum Starten den Befehl winrm und andere Programme wie PowerShell.Sicherheitsempfehlungen: Deaktivieren Sie gegebenenfalls den WinRM-Dienst und isolieren Sie die Infrastruktur mit WinRM mit separaten Konten und Berechtigungen. Befolgen Sie die Empfehlungen von WinRM zum Festlegen von Authentifizierungsmethoden und zur Verwendung von Ho-Firewalls Hundert, um den Zugriff auf WinRM einzuschränken und den Zugriff nur von bestimmten Geräten aus zuzulassen.