Tautan ke semua bagian:Bagian 1. Mendapatkan akses awal (Akses Awal)Bagian 2. EksekusiBagian 3. Penambat (Kegigihan)Bagian 4. Eskalasi PrivilegeBagian 5. Pertahanan EvasionBagian 6. Mendapatkan kredensial (Akses Kredensial)Bagian 7. PenemuanBagian 8. Gerakan LateralBagian 9. Pengumpulan data (Pengumpulan)Bagian 10 PengelupasanBagian 11. Perintah dan KontrolTaktik
Gerakan Lateral (
Gerakan Lateral - gerakan lateral, lateral, horizontal ) termasuk metode bagi musuh untuk mendapatkan akses dan kontrol atas sistem jarak jauh yang terhubung ke jaringan yang diserang, serta, dalam beberapa kasus, meluncurkan alat berbahaya pada sistem jarak jauh yang terhubung ke jaringan yang diserang. Pergerakan jaringan lateral memungkinkan penyerang memperoleh informasi dari sistem jarak jauh tanpa menggunakan alat tambahan, seperti utilitas akses jarak jauh (RAT).
Penulis tidak bertanggung jawab atas konsekuensi yang mungkin dari penerapan informasi yang terkandung dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang dipublikasikan adalah pengungkapan kembali gratis konten MITER ATT & CK .Sistem: macOS
Hak: Pengguna
Deskripsi: Bahasa AppleScript menyediakan kemampuan untuk bekerja dengan Acara Apple - pesan dipertukarkan antara aplikasi sebagai bagian dari komunikasi antarproses (IPC). Menggunakan Apple Event, Anda dapat berinteraksi dengan hampir semua aplikasi yang terbuka secara lokal atau jarak jauh, memicu acara seperti membuka jendela dan menekan tombol. Skrip dijalankan menggunakan perintah:
Osascript -e [] .
Penyerang dapat menggunakan AppleScript untuk secara diam-diam membuka koneksi SSH ke host jarak jauh, memberikan pengguna dialog palsu. AppleScript juga dapat digunakan dalam jenis serangan yang lebih umum, seperti organisasi Shell Terbalik.
Rekomendasi perlindungan: Wajib verifikasi untuk menjalankan skrip AppleScript untuk tanda tangan dari pengembang tepercaya.
Sistem: Windows, Linux, macOS
Deskripsi: Alat penyebaran aplikasi yang digunakan oleh administrator jaringan perusahaan dapat digunakan oleh pengguna jahat untuk menginstal aplikasi jahat. Izin yang diperlukan untuk menyelesaikan langkah-langkah ini tergantung pada konfigurasi sistem: kredensial domain tertentu mungkin diperlukan untuk mengakses server instalasi perangkat lunak, dan hak-hak lokal mungkin memadai, namun, akun administrator mungkin diperlukan untuk memasuki sistem instalasi aplikasi dan memulai proses penyebaran sistem. Akses ke sistem instalasi aplikasi perusahaan yang terpusat memungkinkan musuh untuk mengeksekusi kode dari jarak jauh di semua sistem jaringan yang diserang. Akses tersebut dapat digunakan untuk bergerak melalui jaringan, mengumpulkan informasi atau menyebabkan efek tertentu, misalnya, membersihkan hard drive di semua host.
Rekomendasi keamanan: Hanya izinkan administrator dalam jumlah terbatas untuk mengakses sistem penerapan aplikasi. Berikan isolasi yang andal dan batasi akses ke sistem jaringan kritis menggunakan firewall, batasi hak istimewa akun, konfigurasikan kebijakan keamanan grup dan otentikasi multi-faktor. Pastikan bahwa data akun yang memiliki akses ke sistem penyebaran perangkat lunak unik dan tidak digunakan di seluruh jaringan. Secara teratur instal tambalan dan pembaruan sistem instalasi aplikasi untuk mencegahnya mendapatkan akses jarak jauh yang tidak sah melalui eksploitasi kerentanan. Jika sistem instalasi aplikasi dikonfigurasi untuk hanya mendistribusikan file biner yang ditandatangani, maka pastikan bahwa sertifikat tanda tangan tepercaya tidak ditempatkan di sana, tetapi disimpan pada sistem yang tidak dapat diakses atau dibatasi dan dikendalikan dari jarak jauh.
Sistem: Windows
Hak: Administrator, Sistem
Deskripsi: DCOM adalah protokol yang memperluas fungsionalitas Component Object Model (COM), yang memungkinkan komponen perangkat lunak untuk berinteraksi tidak hanya dalam sistem lokal, tetapi juga melalui jaringan, menggunakan teknologi Remote Procedure Call (RPC), dengan komponen aplikasi dari sistem lain. COM adalah komponen dari API Windows. Melalui COM, objek klien dapat memanggil metode objek server, biasanya file DLL atau .exe. Izin untuk berinteraksi dengan objek COM server lokal atau jarak jauh didefinisikan menggunakan ACL dalam registri. Secara default, hanya administrator yang dapat mengaktifkan dan menjalankan objek COM dari jarak jauh melalui DCOM.
Musuh dapat menggunakan DCOM untuk bergerak menyamping melintasi jaringan. Melalui DCOM, penyerang yang bekerja dalam konteks pengguna dengan hak istimewa yang sesuai dapat mengeksekusi kode arbitrer dari jarak jauh melalui aplikasi Office dan objek Windows lainnya yang berisi metode tidak aman. DCOM juga dapat menjalankan makro dalam dokumen yang ada, serta memanggil Dynamic Data Exchange (DDE) secara langsung melalui objek COM yang dibuat di Microsoft Office, melewati kebutuhan untuk membuat dokumen berbahaya. DCOM juga dapat memberikan fungsionalitas kepada musuh yang dapat digunakan pada tahap serangan lainnya, seperti eskalasi hak istimewa atau menyematkan akses.
Rekomendasi perlindungan: Menggunakan registri, konfigurasikan pengaturan keamanan individual untuk aplikasi COM: kode> HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ AppID.
Pertimbangkan untuk menonaktifkan dukungan DCOM menggunakan utilitas
dcomcnfg.exe atau dalam registri:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM=SZ:NAktifkan Windows Firewall, yang secara default mencegah DCOM dibuat. Nyalakan tampilan aman dan pemberitahuan tentang peluncuran objek COM di dokumen MS Office.
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Untuk mengeksekusi kode arbitrer, penyerang dapat menggunakan eksploit yang menggunakan kesalahan dalam program, layanan, perangkat lunak sistem operasi, atau bahkan dalam kernel sistem operasi. Tujuan mengeksploitasi kerentanan layanan jarak jauh setelah kompromi awal adalah untuk menyediakan akses jarak jauh ke sistem untuk bergerak di sekitar jaringan.
Sebelumnya, musuh perlu mengidentifikasi sistem dengan kerentanan. Ini dapat dilakukan dengan memindai layanan jaringan atau metode
deteksi lainnya, seperti mencari perangkat lunak umum yang rentan dan tambalan yang hilang, yang menunjukkan adanya kerentanan, atau mencari alat keamanan yang digunakan untuk mendeteksi dan memblokir eksploitasi kerentanan dari jarak jauh. Server kemungkinan besar akan menjadi target yang berharga untuk digunakan saat menavigasi jaringan, tetapi workstation juga berisiko jika mereka memberi musuh dengan keuntungan atau akses ke sumber daya tambahan.
Kerentanan dikenal dalam layanan bersama, seperti SMB, RDP, serta aplikasi yang dapat digunakan pada jaringan internal, seperti MySQL dan layanan server web. Bergantung pada izin layanan yang rentan, musuh juga bisa mendapatkan eskalasi hak istimewa menggunakan gerakan lateral.
Kiat
Keamanan: Segmen jaringan dan sistem untuk mengurangi akses ke sistem dan layanan penting. Minimalkan ketersediaan layanan dengan memberikan hak hanya kepada mereka yang membutuhkannya. Periksa jaringan internal Anda secara teratur untuk layanan baru dan berpotensi rentan. Minimalkan izin dan akses akun layanan untuk membatasi jangkauan.
Perbarui perangkat lunak secara berkala, terapkan proses pengelolaan pemasangan tambalan aplikasi pada host dan server internal. Kembangkan prosedur analisis ancaman dunia maya untuk menentukan jenis dan tingkat ancaman selama eksploitasi dapat digunakan terhadap organisasi Anda, termasuk eksploitasi kerentanan zero-day. Gunakan kotak pasir untuk mempersulit musuh untuk melakukan operasi menggunakan kerentanan yang tidak diketahui atau tidak dikoreksi. Jenis-jenis mikrosegmentasi dan virtualisasi aplikasi lain juga dapat mengurangi efek dari jenis eksploitasi tertentu. Perangkat lunak keamanan seperti Windows Defender Exploit Guard (WDEG) dan Enhanced Mitigation Experience Toolkit (EMET), yang bertujuan untuk menemukan perilaku yang digunakan selama eksploitasi kerentanan, dapat digunakan untuk melindungi dari eksploitasi.
Memverifikasi integritas aliran kontrol adalah cara lain untuk mengidentifikasi dan memblokir eksploitasi kerentanan perangkat lunak. Banyak fitur keamanan yang terdaftar mungkin tidak berfungsi untuk semua program dan layanan, kompatibilitas tergantung pada arsitektur dan file biner dari aplikasi target.
Tergantung pada alat yang tersedia, deteksi oleh pihak yang membela eksploitasi kerentanan mungkin sulit. Eksploitasi perangkat lunak mungkin tidak selalu berhasil atau mengarah pada operasi yang tidak stabil atau penghentian proses serangan yang abnormal. Perhatikan indikator kompromi, misalnya, perilaku proses yang tidak normal, penampilan file yang mencurigakan pada disk, lalu lintas jaringan yang tidak biasa, tanda-tanda pemicu alat deteksi, dan proses injeksi.
Sistem: Windows, macOS
Deskripsi: Musuh dapat menggunakan kemampuan untuk membuat skrip logon yang baru atau memodifikasi yang ada - skrip yang dieksekusi setiap kali pengguna atau grup pengguna tertentu masuk ke sistem. Jika penyerang mendapatkan akses ke skrip logon pada pengontrol domain, maka ia dapat memodifikasinya untuk mengeksekusi kode pada semua sistem dalam domain untuk bergerak ke samping di seluruh jaringan. Bergantung pada izin skrip login, kredensial lokal atau administratif mungkin diperlukan.
Di Mac, skrip logon (
Login / Logout Hook ), tidak seperti Item Login, yang dijalankan dalam konteks pengguna, dapat dijalankan sebagai root.
Rekomendasi Keamanan: Membatasi hak administrator untuk membuat skrip login. Identifikasi dan pemblokiran perangkat lunak yang berpotensi berbahaya yang dapat digunakan untuk memodifikasi skenario login. Windows AppLocker dapat memblokir peluncuran program yang tidak dikenal.
Sistem: Windows
Deskripsi: Pass the Hash (PtH) adalah metode untuk mengautentikasi pengguna tanpa akses ke kata sandi dalam bentuk yang jelas. Metode ini untuk memotong langkah-langkah otentikasi standar yang memerlukan kata sandi dan langsung ke bagian otentikasi yang menggunakan hash kata sandi. Hash kata sandi asli ditangkap oleh musuh menggunakan teknik akses kredensial, kemudian hash digunakan untuk otentikasi PtH, yang dapat digunakan untuk melakukan tindakan pada sistem lokal atau jarak jauh.
Untuk menjalankan serangan Pass the Hash pada Windows 7 dan di atasnya dengan pembaruan
KB2871997 diinstal,
Anda memerlukan kredensial pengguna domain yang sah atau hash administrator (RID 500).
Rekomendasi perlindungan: Monitor log sistem dan domain untuk mengidentifikasi aktivitas yang tidak biasa dari login akun. Cegah akses ke akun yang ada. Pada sistem Windows 7 dan di atasnya, instal perbaikan terbaru KB2871997 untuk membatasi akses ke akun di grup administrator lokal default.
Untuk meminimalkan kemungkinan penerapan Pass the Hash, nonaktifkan permulaan jarak jauh UAC saat pengguna masuk melalui jaringan dengan mengedit kunci terkait dalam kebijakan registri atau grup:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPoliceGPO:Computer Configuration > [Policies] > Administrative Templates > SCM: Pass the Hash Mitigation: Apply UAC restriction to local accounts on network logonsBatasi kebetulan akun dalam sistem yang berbeda untuk mencegah kompromi mereka dan mengurangi kemampuan musuh untuk berpindah antar sistem. Pastikan bahwa kredensial internal dan bawaan administrator lokal memiliki kata sandi unik yang kompleks. Jangan izinkan pengguna domain menjadi anggota grup administrator lokal di beberapa sistem. Untuk mendeteksi serangan Pass the Hash, audit dilakukan terhadap semua peristiwa masuk dan penggunaan kredensial dengan pemeriksaan perbedaan (misalnya, satu akun digunakan secara bersamaan di beberapa sistem). Info masuk yang tidak biasa terkait dengan aktivitas mencurigakan (misalnya, membuat dan menjalankan file biner) juga dapat menunjukkan aktivitas jahat. Kejadian otentikasi tipe NTLM LogonType 3 (entri jaringan) yang tidak terkait dengan domain dan akun non-anonim (pengguna dengan SID S-1-5-7) juga harus mencurigakan.
Sistem: Windows
Deskripsi: Pass the Ticket (PtT) adalah metode otentikasi tiket Kerberos tanpa akses ke kata sandi akun. Otentikasi Kerberos dapat digunakan sebagai langkah pertama untuk memindahkan musuh ke sistem jarak jauh.
Selama PtT, tiket Kerberos yang valid untuk akun yang ada ditangkap oleh musuh menggunakan
teknik pembuangan kredensial . Tergantung pada tingkat akses, tiket layanan pengguna atau tiket pemberian tiket (TGT) dapat diperoleh. Tiket layanan memungkinkan akses ke sumber daya tertentu, sementara TGT dapat digunakan untuk meminta tiket layanan dari layanan tiket (TGS) untuk mengakses sumber daya apa pun yang dapat diakses oleh pengguna.
Tiket Perak (TGS palsu) dapat diperoleh untuk layanan yang menggunakan Kerberos sebagai mekanisme otentikasi, dan digunakan untuk menghasilkan tiket untuk akses ke sumber daya tertentu dan sistem di mana sumber daya itu berada (misalnya, SharePoint).
Tiket Emas (tiket Kerberos untuk akses tanpa batas ke sumber daya dalam konteks pengguna mana pun, termasuk pengguna yang tidak ada) dapat diperoleh dengan menggunakan hash NTLM dari akun layanan distribusi utama - KRBTGT, yang memungkinkan untuk menghasilkan TGT untuk setiap akun dalam AD.
Rekomendasi perlindungan: Memantau kredensial yang tidak biasa dalam sistem. Batasi pencocokan kredensial di seluruh sistem, dengan demikian mencegah kerusakan jika terjadi kompromi. Pastikan akun administrator lokal memiliki kata sandi yang kompleks dan unik. Jangan izinkan pengguna menjadi administrator lokal dari beberapa sistem. Batasi izin akun administrator domain untuk pengontrol domain dan server terbatas. Mendelegasikan fungsi administrator lainnya ke akun individual.
Untuk menangkal Tiket Emas yang dihasilkan sebelumnya, setel ulang kata sandi dari akun bawaan KRBTGT dua kali, yang akan membatalkan semua Tiket Emas yang dibuat menggunakan hash kata sandi KRBTGT dan tiket Kerberos lainnya yang diterima dari Tiket Emas.
Menggunakan alat daftar putih aplikasi seperti Applocker atau
Kebijakan Pembatasan Perangkat Lunak, cobalah untuk mengidentifikasi dan memblokir perangkat lunak yang tidak dikenal atau berbahaya yang dapat digunakan untuk menerima tiket Kerberos dan otentikasi lebih lanjut.
Untuk mendeteksi serangan PtT, kami sarankan untuk mengaudit semua peristiwa otentikasi Kerberos dan menggunakan kredensial dengan analisis perbedaan. Kejadian otentikasi jarak jauh yang tidak biasa yang berkorelasi dengan aktivitas mencurigakan lainnya (seperti menulis dan menjalankan binari) dapat berfungsi sebagai indikator aktivitas jahat.
ID4769 acara dihasilkan pada pengontrol domain saat menggunakan Tiket Emas setelah dua kali pengaturan ulang kata sandi KRBTGT. Kode status 0x1F menunjukkan pemeriksaan integritas yang gagal dari bidang terenkripsi dan menunjukkan upaya untuk menggunakan Tiket Emas yang tidak valid.
Sistem: Windows
Hak: Pengguna Remote Desktop, Pengguna
Deskripsi: Remote Desktop adalah fitur khas sistem operasi yang memungkinkan pengguna untuk masuk ke sesi interaktif dengan antarmuka grafis pada komputer jarak jauh. Microsoft menyebut penerapan protokol RDP sebagai
Remote Desktop Servoce (RDS) . Ada implementasi lain dan alat pihak ketiga yang menyediakan akses grafis ke layanan jarak jauh seperti RDS. Musuh dapat terhubung ke sistem jarak jauh melalui RDP / RDS untuk memperluas akses jika layanan yang sesuai dihidupkan dan memungkinkan akses dengan kredensial yang diketahui ke penyerang. Sebelumnya, musuh kemungkinan akan menggunakan
teknik akses kredensial untuk mendapatkan kredensial yang dapat digunakan dengan RDP. Lawan juga dapat menggunakan RDP dalam kombinasi dengan teknik Penyalahgunaan Aksesibilitas Windows untuk mengamankan diri mereka dalam sistem.
Penyerang juga dapat mencoba untuk membajak sesi RDP yang melibatkan sesi jarak jauh dari pengguna yang sah. Biasanya, ketika Anda mencoba mencuri sesi, pengguna menerima pemberitahuan dan pesan konfirmasi, namun, memiliki izin tingkat Sistem menggunakan konsol Layanan Terminal, Anda dapat mencegat sesi tanpa memberikan kredensial dan konfirmasi pengguna:
C:\Windows\system32\tscon.exe [ , ] .
Ini dapat dilakukan dari jarak jauh atau lokal dengan sesi aktif atau dibatalkan. Hal ini juga dapat menyebabkan eskalasi hak istimewa dengan membajak sesi administrator domain atau pengguna yang lebih istimewa. Semua hal di atas dapat dilakukan dengan menggunakan perintah Windows bawaan, atau fungsi yang sesuai dapat ditambahkan ke alat untuk pentesting, misalnya
RedSnarf .
Rekomendasi perlindungan: Nonaktifkan layanan RDP jika tidak diperlukan, hapus akun dan grup yang tidak perlu dari grup
Remote Desktop Users , aktifkan aturan pemblokiran lalu lintas RDP antara zona keamanan di firewall. Periksa anggota grup
Pengguna Desktop Jarak Jauh secara teratur. Hapus grup administrator dari daftar grup yang diizinkan masuk melalui RDP. Jika akses jarak jauh diperlukan, maka batasi hak-hak pengguna jarak jauh. Gunakan
gateway desktop jarak jauh dan otentikasi multi-faktor untuk login jarak jauh. Jangan biarkan RDP dapat diakses dari Internet. Ubah GPO dengan menetapkan batas waktu dan waktu maksimum sesi remote dapat aktif. Ubah GPO untuk menunjukkan waktu maksimum sesi remote terputus tetap aktif di server host.
Karena kenyataan bahwa penggunaan RDP bisa menjadi proses yang cukup sah, indikator aktivitas jahat dapat mengakses pola dan tindakan yang terjadi setelah login jarak jauh, misalnya, pengguna yang masuk ke sistem yang biasanya tidak mereka akses atau masuk ke beberapa sistem selama jumlah waktu yang relatif singkat. Untuk mencegah intersepsi sesi RDP dianjurkan untuk memantau penggunaan tscon.exe dan menciptakan layanan yang digunakan cmd.exe /katau cmd.exe /cdalam argumen mereka.Sistem: Windows, Linux, macOSHak: Deskripsi Pengguna:File dapat disalin dari satu sistem ke sistem lain untuk menggunakan alat musuh atau file lain selama operasi. File dapat disalin dari sistem eksternal yang dikendalikan oleh penyerang, melalui saluran C&C atau menggunakan alat lain menggunakan protokol alternatif, seperti FTP. File juga dapat disalin ke Mac dan Linux menggunakan alat bawaan seperti scp, rsync, sftp. Musuh juga dapat menyalin file secara lateral antara sistem korban internal untuk mendukung pergerakan jaringan dan eksekusi perintah jarak jauh. Ini dapat dilakukan dengan menggunakan protokol berbagi file dengan menghubungkan sumber daya jaringan melalui SMB atau menggunakan koneksi terotentikasi ke Windows Admin Share atau RDP.Rekomendasi Perlindungan:Penggunaan sistem IDS / IPS yang menggunakan tanda tangan untuk mengidentifikasi lalu lintas berbahaya atau transfer data yang tidak biasa melalui alat dan protokol terkenal seperti FTP, yang dapat digunakan untuk mengurangi aktivitas di tingkat jaringan. Tanda tangan biasanya digunakan untuk mendeteksi indikator protokol yang unik dan didasarkan pada teknik kebingungan khusus yang digunakan oleh penyerang atau alat tertentu, dan kemungkinan besar akan berbeda untuk keluarga dan versi malware yang berbeda. Penyerang cenderung memodifikasi tanda tangan alat C2 atau membuat protokol sedemikian rupa untuk menghindari deteksi oleh alat keamanan terkenal.Sebagai alat pendeteksi, disarankan untuk membuat dan mentransfer file melalui jaringan melalui SMB. Proses yang tidak biasa dengan koneksi jaringan eksternal yang membuat file di dalam sistem mungkin mencurigakan. Penggunaan utilitas yang tidak lazim seperti FTP juga bisa mencurigakan. Dianjurkan juga untuk menganalisis data jaringan untuk aliran data yang tidak biasa, misalnya, klien mengirim lebih banyak data secara signifikan daripada yang diterima dari server. Proses jaringan yang biasanya tidak memiliki konektivitas jaringan juga mencurigakan. Periksa isi paket untuk menemukan koneksi yang tidak cocok dengan protokol dan port yang digunakan.Sistem: Windows, Linux, macOSDeskripsi: Penyerang dapat menggunakan akun yang valid untuk masuk ke layanan yang dirancang untuk menerima koneksi jaringan, seperti telnet, SSH, atau VNC. Setelah ini, musuh akan dapat melakukan tindakan atas nama pengguna yang telah masuk ke sistem. PertimbanganKeamanan: Batasi jumlah akun yang dapat digunakan layanan jarak jauh. Gunakan otentikasi multi-faktor bila memungkinkan. Batasi izin untuk akun yang berisiko lebih tinggi untuk berkompromi, misalnya, konfigurasikan SSH sehingga pengguna hanya dapat menjalankan program tertentu. Cegah Teknik Akses Kredensialyang memungkinkan penyerang memperoleh kredensial yang valid. Hubungkan aktivitas penggunaan logon yang terkait dengan layanan jarak jauh dengan perilaku yang tidak biasa atau aktivitas berbahaya atau mencurigakan lainnya. Sebelum mencoba untuk memajukan jaringan, penyerang kemungkinan besar perlu belajar tentang lingkungan dan hubungan antara sistem menggunakan teknik deteksi .Sistem: WindowsDeskripsi: Teknik melibatkan eksekusi program jahat menggunakan fungsi autorun di Windows. Untuk menipu pengguna, file "sah" dapat diubah atau diganti, dan kemudian disalin ke perangkat yang dapat dilepas oleh penyerang. Selain itu, payload dapat diimplementasikan dalam firmware perangkat yang dapat dilepas atau melalui program pemformatan media awal.Rekomendasi Perlindungan: Menonaktifkan fitur autorun di Windows. Membatasi penggunaan perangkat yang dapat dilepas pada tingkat kebijakan keamanan organisasi. Aplikasi perangkat lunak antivirus.Sistem: macOS, LinuxKeterangan:Secure Shell (SSH) adalah alat akses jarak jauh standar di Linux dan macOS yang memungkinkan pengguna untuk terhubung ke sistem lain melalui terowongan terenkripsi, biasanya dengan kata sandi, sertifikat, atau pasangan kunci enkripsi asimetris. Untuk maju melalui jaringan dari host yang disusupi, lawan dapat mengambil keuntungan dari hubungan kepercayaan yang dibangun dengan sistem lain melalui otentikasi kunci publik dalam sesi SSH aktif dengan menyadap koneksi yang ada dengan sistem lain. Ini mungkin karena kompromi agen SSH itu sendiri atau akses ke soket agen. Jika musuh bisa mendapatkan akses root dalam sistem, maka menangkap sesi SSH lebih lanjut akan menjadi tugas yang sepele. Mengompromikan agen SSH juga mencegat kredensial SSH.Teknik pembajakan SSH berbeda dari menggunakan teknik Layanan Jarak Jauh karena teknik ini terintegrasi ke dalam sesi SSH yang ada, daripada membuat sesi baru menggunakan akun yang valid.:Pastikan bahwa pasangan kunci SSH memiliki kata sandi yang kuat dan jangan menggunakan teknologi penyimpanan kunci seperti ssh-agent jika mereka tidak dilindungi dengan benar. Pastikan bahwa semua kunci pribadi disimpan dengan aman di tempat-tempat yang hanya dapat diakses oleh pemilik yang sah dengan kata sandi yang kompleks dan sering kali berubah. Verifikasi bahwa izin file sudah benar dan perkuat sistem untuk mencegah peningkatan hak akses root. Jangan izinkan akses jarak jauh melalui SSH dengan privilege root atau akun privilege lainnya. Pastikan bahwa penerusan Agen dinonaktifkan pada sistem di mana tidak diperlukan secara eksplisit. Menimbang bahwa menggunakan SSH itu sendiri bisa sah, tergantung pada lingkungan jaringan dan bagaimana menggunakannya,indikator penggunaan SSH yang mencurigakan atau berbahaya dapat berupa berbagai pola untuk mendapatkan akses dan perilaku selanjutnya. Misalnya, akun yang masuk ke sistem yang biasanya tidak mereka akses atau sambungkan ke beberapa sistem untuk waktu yang singkat. Anda juga disarankan untuk melacak file soket agen SSH pengguna yang digunakan oleh pengguna yang berbeda.Sistem: WindowsKeterangan:Musuh dapat menempatkan konten jahat di situs web yang memiliki direktori webroot publik atau direktori publik lainnya untuk menyajikan konten web di segmen internal jaringan, dan kemudian menavigasi ke konten itu menggunakan browser web untuk memaksa server untuk mengeksekusinya. Biasanya, konten jahat diluncurkan dalam konteks proses server web, seringkali, tergantung pada bagaimana server web dikonfigurasi, ini menghasilkan sistem lokal atau hak administratif. Mekanisme untuk berbagi dan eksekusi kode jarak jauh dapat digunakan untuk pindah ke sistem yang menjalankan server web. Misalnya, server web yang menjalankan PHP dengan webroot publik mungkin memungkinkan penyerang mengunduh alat RAT ke OS server web ketika mereka mengunjungi halaman tertentu.Rekomendasi Perlindungan:Jaringan di mana pengguna diizinkan untuk melakukan pengembangan terbuka, pengujian konten dan meluncurkan server web mereka sendiri sangat rentan jika sistem dan server web tidak terlindungi dengan baik: penggunaan akun istimewa tidak terbatas, akses ke sumber daya jaringan dimungkinkan tanpa otentikasi, dan juga tidak isolasi jaringan dari jaringan / sistem. Pastikan bahwa izin untuk direktori yang dapat diakses melalui server web sudah benar. Tolak akses jarak jauh ke direktori root situs (webroot) atau direktori lain yang digunakan untuk menyediakan konten web. Nonaktifkan eksekusi di direktori webroot. Pastikan bahwa izin proses server web hanya yang diperlukan. Jangan gunakan akun bawaan, sebagai gantinya, buat akun khusus untuk membatasi akses yang tidak perlu atau untuk melintasi izin pada beberapa sistem.Gunakan pemantauan proses untuk menentukan kapan file ditulis ke server web oleh proses yang tidak normal untuk server web atau ketika file ditulis di luar periode waktu administratif. Gunakan pemantauan proses untuk menentukan proses normal dan selanjutnya mendeteksi proses abnormal yang biasanya tidak berjalan di server web.Sistem: Hak Windows :Deskripsi Pengguna : Konten drive jaringan publik dan penyimpanan lainnya dapat rusak dengan menambahkan program jahat, skrip atau kode eksploitasi ke file yang dihosting. Segera setelah pengguna membuka konten yang rusak, bagian jahat dapat dieksekusi untuk meluncurkan kode berbahaya pada sistem jarak jauh. Lawan dapat menggunakan metode di atas untuk kemajuan lateral.Ada jenis teknik lain yang menggunakan beberapa metode lain untuk menyebarkan malware ketika pengguna mendapatkan akses ke direktori jaringan bersama. Esensinya adalah mengubah pintasan ( Modifikasi Pintasan) direktori (.lnk) menggunakan penyamaran sehingga label terlihat seperti direktori nyata yang sebelumnya disembunyikan. Malicious .lnk memiliki perintah bawaan yang mengeksekusi file jahat tersembunyi dan kemudian membuka direktori nyata yang diharapkan oleh pengguna. Penerapan teknik ini dalam direktori jaringan yang sering digunakan dapat menyebabkan infeksi berulang dan, sebagai akibatnya, penyerang mendapatkan akses luas ke sistem dan, mungkin, ke akun baru yang lebih istimewa.Rekomendasi Perlindungan:Lindungi folder bersama dengan meminimalkan jumlah pengguna dengan izin menulis. Gunakan utilitas yang dapat mendeteksi atau mencegah eksploitasi pada tanda pertama, seperti Microsoft Mitigation Experience Toolkit (EMET). Mengurangi potensi risiko promosi menyamping dengan menggunakan manajemen dokumen dan layanan kolaborasi berbasis web yang tidak menggunakan berbagi file dan direktori.Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya dan berbahaya yang dapat digunakan untuk merusak konten menggunakan alat seperti AppLocker atau Kebijakan Pembatasan Perangkat Lunak .Dianjurkan pemindaian direktori jaringan bersama untuk file berbahaya, file .LNK tersembunyi, dan tipe file lain yang tidak tipikal dari direktori tertentu. Kecurigaan harus disebabkan oleh proses yang menulis atau menimpa banyak file ke direktori jaringan umum, serta proses yang dilakukan dari media yang dapat dipindahkan.Sistem: Windows, Linux, macOSHak: Pengguna, administrator,Deskripsi Sistem : Perangkat lunak pihak ketiga dan sistem penyebaran perangkat lunak (SCCM, VNC, HBSS, Altris, dll.) Yang digunakan pada jaringan untuk keperluan administrasi dapat digunakan oleh penyerang untuk menjalankan dari jarak jauh kode pada semua host yang terhubung ke sistem tersebut. Hak yang diperlukan untuk menerapkan teknik ini tergantung pada konfigurasi sistem tertentu. Kredensial lokal mungkin cukup untuk mengakses server penyebaran perangkat lunak, namun, akun administrator mungkin diperlukan untuk memulai penyebaran perangkat lunak.Rekomendasi Perlindungan:Periksa tingkat keamanan sistem penyebaran perangkat lunak Anda. Pastikan akses ke sistem manajemen perangkat lunak terbatas, terkontrol, dan dilindungi. Gunakan kebijakan pra-persetujuan wajib secara wajib untuk penyebaran perangkat lunak jarak jauh. Memberikan akses ke sistem penyebaran perangkat lunak ke sejumlah administrator, memastikan isolasi sistem penyebaran perangkat lunak. Pastikan kredensial untuk mengakses sistem penyebaran perangkat lunak unik dan tidak digunakan dalam layanan lain di jaringan perusahaan. Jika sistem penyebaran perangkat lunak dikonfigurasikan untuk hanya menjalankan file biner yang ditandatangani, maka verifikasi bahwa sertifikat tepercaya tidak disimpan dalam sistem penyebaran perangkat lunak itu sendiri, tetapi terletak pada sistem yang tidak dapat diakses dari jarak jauh.Sistem: Hak Windows :Deskripsi Pengguna : Sistem Windows memiliki folder jaringan tersembunyi yang hanya dapat diakses oleh administrator dan memberikan kemampuan untuk menyalin file dan fungsi administrasi lainnya dari jarak jauh. Contoh Saham Admin Windows: C $, $ ADMIN, $ IPC.Lawan dapat menggunakan teknik ini dalam kombinasi dengan akun tingkat administrator yang ada untuk akses jarak jauh ke sistem melalui blok server messege (SMB), berinteraksi dengan sistem menggunakan RPC, mentransfer file dan menjalankan file biner yang dimigrasi menggunakan teknik Eksekusi. Contoh metode eksekusi berdasarkan sesi terotentikasi melalui SMB / RPC adalah tugas terjadwal, layanan awal, dan WMI. Lawan juga dapat menggunakan hash NTLM untuk mendapatkan akses ke Saham Admin melalui Pass-the-Hash. Perintah net use, dengan kredensial yang valid, dapat digunakan untuk menghubungkan sistem jarak jauh ke Windows Admin Share.Rekomendasi perlindungan: Jangan gunakan kata sandi yang sama untuk akun administrator lokal di sistem yang berbeda. Pastikan kata sandi itu rumit dan unik sehingga tidak dapat ditebak atau dibobol. Nonaktifkan login jarak jauh ke akun administrator lokal bawaan. Jangan izinkan akun pengguna menjadi anggota grup administrator lokal dari banyak sistem.Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya dan berbahaya yang dapat digunakan untuk mengoperasikan Saham SMB dan Admin menggunakan AppLocker atau Kebijakan Pembatasan Perangkat Lunak .Menyediakan pengumpulan dan penyimpanan kredensial login yang terpusat. Windows Event Forwarding memungkinkan Anda untuk mengumpulkan data tentang penggunaan akun yang berhasil / tidak berhasil yang dapat digunakan untuk menavigasi jaringan. Lacak tindakan pengguna jarak jauh yang terhubung ke Admin Share. Lacak penggunaan alat dan perintah yang digunakan untuk menghubungkan ke jaringan berbagi, seperti utilitas Net, atau mencari sistem yang dapat diakses dari jarak jauh.Sistem: Hak Windows : Pengguna, AdministratorKeterangan: WinRM adalah nama layanan dan protokol yang memungkinkan interaksi pengguna jarak jauh dengan sistem (misalnya, memulai file, mengubah registri, mengubah layanan. Untuk memulai, gunakan perintah winrm dan program lain, seperti PowerShell.Rekomendasi keamanan: Nonaktifkan layanan WinRM, jika perlu, pisahkan infrastruktur dengan WinRM dengan akun dan izin terpisah. Ikuti rekomendasi WinRM untuk menetapkan metode otentikasi dan menggunakan firewall. seratus untuk membatasi akses ke WinRM dan memungkinkan akses hanya dari perangkat tertentu.