Links para todas as partes:Parte 1. Obtendo Acesso Inicial (Acesso Inicial)Parte 2. ExecuçãoParte 3. Fixação (Persistência)Parte 4. Escalonamento de PrivilégiosParte 5. Evasão de DefesaParte 6. Obtendo credenciais (acesso a credenciais)Parte 7. DescobertaParte 8. Movimento LateralParte 9. Coleta de Dados (Coleção)Parte 10 ExfiltraçãoParte 11. Comando e ControleAs táticas de
movimento lateral (
movimento lateral - movimento lateral, lateral e horizontal ) incluem métodos para o inimigo obter acesso e controle sobre sistemas remotos conectados à rede atacada, além de, em alguns casos, lançar ferramentas maliciosas em sistemas remotos conectados para a rede atacada. O movimento lateral da rede permite que um invasor obtenha informações de sistemas remotos sem o uso de ferramentas adicionais, como utilitários de acesso remoto (RAT).
O autor não é responsável pelas possíveis consequências da aplicação das informações contidas no artigo e também se desculpa por possíveis imprecisões feitas em algumas formulações e termos. As informações publicadas são uma recontagem gratuita do conteúdo do MITRE ATT & CK .Sistema: macOS
Direitos: Usuário
Descrição: a linguagem AppleScript oferece a capacidade de trabalhar com o Apple Event - mensagens trocadas entre aplicativos como parte da comunicação entre processos (IPC). Usando o Apple Event, você pode interagir com quase qualquer aplicativo aberto local ou remotamente, acionar eventos como abrir janelas e pressionar teclas. Os scripts são executados usando o comando:
Osascript -e [] .
Os invasores podem usar o AppleScript para abrir secretamente conexões SSH para hosts remotos, oferecendo aos usuários diálogos falsos. O AppleScript também pode ser usado em tipos mais comuns de ataques, como nas organizações Reverse Shell.
Recomendações de proteção: verificação obrigatória da execução de scripts AppleScript para a assinatura de um desenvolvedor confiável.
Sistema: Windows, Linux, macOS
Descrição: as ferramentas de implantação de aplicativos usadas pelos administradores de rede corporativa podem ser usadas por usuários mal-intencionados para instalar aplicativos mal-intencionados. As permissões necessárias para concluir essas etapas dependem da configuração do sistema: certas credenciais de domínio podem ser necessárias para acessar o servidor de instalação do software e privilégios locais podem ser suficientes, no entanto, uma conta de administrador pode ser necessária para entrar no sistema de instalação do aplicativo e iniciar o processo de implantação sistema O acesso a um sistema centralizado de instalação de aplicativos corporativos permite que um adversário execute remotamente o código em todos os sistemas da rede atacada. Esse acesso pode ser usado para percorrer a rede, coletar informações ou causar um efeito específico, por exemplo, limpar discos rígidos em todos os hosts.
Recomendações de segurança: permita apenas que um número limitado de administradores autorizados acesse sistemas de implantação de aplicativos. Forneça isolamento confiável e restrinja o acesso a sistemas críticos de rede usando firewalls, restrinja privilégios de conta, configure políticas de segurança de grupo e autenticação multifator. Verifique se os dados das contas que têm acesso ao sistema de implantação de software são exclusivos e não são usados em toda a rede. Instale regularmente patches e atualizações nos sistemas de instalação de aplicativos para impedir que eles obtenham acesso remoto não autorizado através da exploração de vulnerabilidades. Se o sistema de instalação do aplicativo estiver configurado para distribuir apenas arquivos binários assinados, verifique se os certificados de assinatura confiáveis não foram colocados nele, mas estão armazenados em um sistema que não pode ser acessado ou limitado e controlado remotamente.
Sistema: Windows
Direitos: Administrador, Sistema
Descrição: o DCOM é um protocolo que estende a funcionalidade do COM (Component Object Model), permitindo que os componentes de software interajam não apenas no sistema local, mas também na rede, usando a tecnologia RPC (Remote Procedure Call), com componentes de aplicativos de outros sistemas. COM é um componente da API do Windows. Por meio do COM, um objeto cliente pode chamar um método de objeto do servidor, geralmente DLLs ou arquivos .exe. As permissões para interagir com um objeto COM do servidor local ou remoto são definidas usando ACLs no registro. Por padrão, apenas administradores podem ativar e executar remotamente objetos COM por meio do DCOM.
Os inimigos podem usar o DCOM para se mover lateralmente pela rede. Por meio do DCOM, um invasor que trabalha no contexto de um usuário com os privilégios apropriados pode executar remotamente código arbitrário por meio de aplicativos do Office e outros objetos do Windows que contenham métodos não seguros. O DCOM também pode executar macros em documentos existentes, além de chamar o DDE (Dynamic Data Exchange) diretamente por meio de um objeto COM criado no Microsoft Office, ignorando a necessidade de criar um documento malicioso. O DCOM também pode fornecer ao adversário funcionalidades que podem ser usadas em outros estágios do ataque, como escalação de privilégios ou acesso de fixação.
Recomendações de proteção: Usando o registro, defina configurações individuais de segurança para aplicativos COM: código> HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ AppID.
Considere desativar o suporte ao DCOM usando o utilitário
dcomcnfg.exe ou no registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM=SZ:NHabilite o Firewall do Windows, que por padrão impede a criação de instâncias do DCOM. Ative a visualização e notificações seguras sobre o lançamento de objetos COM nos documentos do MS Office.
Sistema: Windows, Linux, macOS
Direitos: Usuário
Descrição: para executar código arbitrário, os invasores podem usar explorações que usam erros em programas, serviços, software de sistema operacional ou mesmo no kernel do sistema operacional. O objetivo de explorar as vulnerabilidades dos serviços remotos após o comprometimento inicial é fornecer acesso remoto aos sistemas para se mover pela rede.
Anteriormente, o adversário precisava identificar sistemas com vulnerabilidades. Isso pode ser feito verificando os serviços de rede ou outros métodos de
detecção , como a pesquisa de software vulnerável comum e as correções ausentes, o que indica a presença de vulnerabilidades, ou a pesquisa de ferramentas de segurança usadas para detectar e bloquear a exploração remota de vulnerabilidades. É mais provável que os servidores sejam um destino valioso para uso na navegação na rede, mas as estações de trabalho também correm risco se fornecerem ao adversário qualquer vantagem ou acesso a recursos adicionais.
As vulnerabilidades são conhecidas em serviços compartilhados, como SMB, RDP, além de aplicativos que podem ser usados em redes internas, como MySQL e serviços de servidor da web. Dependendo das permissões do serviço vulnerável, um adversário pode adicionalmente obter escalada de privilégios usando um movimento lateral.
Dicas de
segurança: segmente redes e sistemas para reduzir o acesso a sistemas e serviços críticos. Minimize a disponibilidade dos serviços, concedendo direitos apenas àqueles que precisam deles. Verifique regularmente sua rede interna quanto a serviços novos e potencialmente vulneráveis. Minimize as permissões e o acesso às contas de serviço para limitar a cobertura.
Atualize regularmente o software, implemente o processo de gerenciamento da instalação de patches de aplicativos em hosts e servidores internos. Desenvolva procedimentos de análise de ameaças cibernéticas para determinar os tipos e níveis de ameaças durante os quais as explorações podem ser usadas contra sua organização, incluindo explorações de vulnerabilidades de dia zero. Use caixas de areia para dificultar a execução de operações por inimigos usando vulnerabilidades desconhecidas ou não corrigidas. Outros tipos de microssegmentação e virtualização de aplicativos também podem atenuar os efeitos de certos tipos de explorações. Softwares de segurança como o Windows Defender Exploit Guard (WDEG) e o EMET (Enhanced Mitigation Experience Toolkit), que têm como objetivo encontrar o comportamento usado durante a exploração de vulnerabilidades, podem ser usados para proteger contra explorações.
Verificar a integridade do fluxo de controle é outra maneira de identificar e bloquear a exploração de vulnerabilidades de software. Muitos dos recursos de segurança listados podem não funcionar em todos os programas e serviços; a compatibilidade depende da arquitetura e do arquivo binário do aplicativo de destino.
Dependendo das ferramentas disponíveis, a detecção pela parte defensora da exploração de vulnerabilidades pode ser difícil. As explorações de software nem sempre são bem-sucedidas ou levam à operação instável ou ao encerramento anormal do processo atacado. Preste atenção aos indicadores de comprometimento, por exemplo, comportamento anormal dos processos, aparência de arquivos suspeitos no disco, tráfego de rede incomum, sinais de acionamento das ferramentas de detecção e injeção de processos.
Sistema: Windows, macOS
Descrição: um adversário pode usar a capacidade de criar novos ou modificar scripts de logon existentes - scripts executados sempre que um usuário ou grupo de usuários específico fizer logon no sistema. Se um invasor obtiver acesso a um script de logon em um controlador de domínio, poderá modificá-lo para executar o código em todos os sistemas no domínio, a fim de se mover lateralmente pela rede. Dependendo das permissões dos scripts de logon, credenciais locais ou administrativas podem ser necessárias.
Em um Mac, os scripts de logon (
Gancho de Logon / Logout ), diferentemente do Item de Logon, que são executados no contexto do usuário, podem ser executados como raiz.
Recomendações de segurança: Restringindo privilégios de administrador para criar scripts de logon. Identificação e bloqueio de software potencialmente perigoso que pode ser usado para modificar os cenários de login. O Windows AppLocker pode bloquear o lançamento de programas desconhecidos.
Sistema: Windows
Descrição: Pass the Hash (PtH) é um método de autenticação de um usuário sem acesso à sua senha de forma clara. O método é ignorar as etapas de autenticação padrão que exigem uma senha e ir diretamente para a parte da autenticação que usa o hash da senha. Os hashes de senhas reais são capturados pelo adversário usando técnicas de acesso a credenciais; depois, os hashes são usados para autenticação PtH, que pode ser usada para executar ações em sistemas locais ou remotos.
Para executar o ataque Passe o Hash no Windows 7 e superior com a atualização
KB2871997 instalada,
você precisa de credenciais de usuário de domínio válidas ou hashes de administrador (RID 500).
Recomendações de proteção: monitore os logs do sistema e do domínio para identificar atividades incomuns dos logins da conta. Impedir o acesso a contas existentes. Nos sistemas Windows 7 e superior, instale o hotfix KB2871997 para restringir o acesso a contas nos grupos de administradores locais padrão.
Para minimizar a possibilidade de implementar o Passe the Hash, desative o início remoto do UAC quando um usuário fizer logon pela rede editando a chave correspondente nas políticas de registro ou grupo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPoliceGPO:Computer Configuration > [Policies] > Administrative Templates > SCM: Pass the Hash Mitigation: Apply UAC restriction to local accounts on network logonsLimite a coincidência de contas em diferentes sistemas, a fim de impedir seu comprometimento e reduzir a capacidade do inimigo de se mover entre sistemas. Verifique se as credenciais internas e criadas dos administradores locais têm senhas exclusivas complexas. Não permita que um usuário do domínio seja membro do grupo de administradores locais em vários sistemas. Para detectar ataques Pass the Hash, é realizada uma auditoria de todos os eventos de logon e uso de credenciais com verificação de discrepância (por exemplo, uma conta foi usada simultaneamente em vários sistemas). Logons incomuns associados a atividades suspeitas (por exemplo, criação e execução de arquivos binários) também podem indicar atividades maliciosas. Eventos de autenticação do tipo NTLM LogonType 3 (entrada de rede) que não estão relacionados a contas de domínio e não anônimas (usuários com SID S-1-5-7) também devem ser suspeitos.
Sistema: Windows
Descrição: Pass the Ticket (PtT) é um método de autenticação de ticket Kerberos sem acesso a uma senha de conta. A autenticação Kerberos pode ser usada como uma primeira etapa para mover um adversário para um sistema remoto.
Durante a PtT, os tíquetes Kerberos válidos para contas existentes são capturados pelo adversário usando
técnicas de dumping de credenciais . Dependendo do nível de acesso, é possível obter tickets de serviço ao usuário ou tickets de concessão de tickets (TGTs). Um ticket de serviço permite o acesso a um recurso específico, enquanto um TGT pode ser usado para solicitar tickets de serviço de um serviço de ticket (TGS) para acessar qualquer recurso ao qual um usuário tenha acesso.
O Ticket de prata (TGS falso) pode ser obtido para serviços que usam o Kerberos como um mecanismo de autenticação e é usado para gerar tickets para acesso a um recurso específico e ao sistema no qual o recurso está localizado (por exemplo, SharePoint).
O Golden Ticket (ticket Kerberos para acesso ilimitado aos recursos no contexto de qualquer usuário, incluindo usuários inexistentes) pode ser obtido usando o hash NTLM da conta do serviço de distribuição de chaves - KRBTGT, que possibilita a geração de TGT para qualquer conta no AD.
Recomendações de proteção: monitore credenciais incomuns no sistema. Limite a correspondência de credenciais nos sistemas, evitando danos no caso de um comprometimento. Verifique se as contas do administrador local possuem senhas complexas e exclusivas. Não permita que o usuário seja o administrador local de vários sistemas. Limite as permissões de conta de administrador de domínio para controladores de domínio e servidores restritos. Delegar outras funções de administrador para contas individuais.
Para neutralizar o Gold Ticket gerado anteriormente, redefina a senha da conta interna KRBTGT, que invalidará todos os Golden Tickets criados usando o hash de senha KRBTGT e outros tickets Kerberos recebidos do Golden Ticket.
Usando ferramentas de lista de permissões de aplicativos, como Applocker ou
Políticas de Restrição de Software, tente identificar e bloquear software desconhecido ou mal-intencionado que pode ser usado para receber tíquetes Kerberos e autenticação adicional.
Para detectar ataques de PtT, recomendamos a auditoria de todos os eventos de autenticação Kerberos e o uso de credenciais com análise de discrepância. Eventos incomuns de autenticação remota que se correlacionam com outras atividades suspeitas (como escrever e executar binários) podem servir como um indicador de atividade maliciosa.
O evento ID4769 é gerado em um controlador de domínio ao usar o Golden Ticket após uma redefinição dupla da senha KRBTGT. O código de status 0x1F indica uma verificação de integridade malsucedida do campo criptografado e indica uma tentativa de usar um Golden Ticket inválido.
Sistema: Windows
Direitos: Usuários de Área de Trabalho Remota, Usuários
Descrição: a área de trabalho remota é um recurso típico dos sistemas operacionais que permite ao usuário fazer login em uma sessão interativa com uma interface gráfica em um computador remoto. A Microsoft chama sua implementação do protocolo RDP como
Remote Desktop Servoce (RDS) . Existem outras implementações e ferramentas de terceiros que fornecem acesso gráfico a serviços remotos como o RDS. Os inimigos podem se conectar ao sistema remoto via RDP / RDS para expandir o acesso se o serviço correspondente estiver ativado e permitir acesso com credenciais conhecidas ao invasor. Anteriormente, o adversário provavelmente usaria
técnicas de acesso a credenciais para obter credenciais que podem ser usadas com o RDP. Os oponentes também podem usar o RDP em combinação com a técnica de Abuso de Acessibilidade do Windows para se protegerem no sistema.
Um invasor também pode tentar seqüestrar sessões RDP envolvendo sessões remotas de usuários legítimos. Normalmente, quando você tenta roubar uma sessão, o usuário recebe uma notificação e uma solicitação de confirmação; no entanto, com permissões no nível do sistema usando o console dos Serviços de Terminal, é possível interceptar a sessão sem fornecer credenciais e confirmar o usuário:
C:\Windows\system32\tscon.exe [ , ] .
Isso pode ser feito remotamente ou localmente com sessões ativas ou abortadas. Também pode levar à escalação de privilégios ao seqüestrar uma sessão de administrador de domínio ou um usuário mais privilegiado. Tudo isso pode ser feito usando os comandos internos do Windows, ou a funcionalidade correspondente pode ser adicionada às ferramentas para pentesting, por exemplo,
RedSnarf .
Recomendações de proteção: desative o serviço RDP, se não for necessário, exclua contas e grupos desnecessários do grupo
Usuários da área de trabalho remota , ative a regra de bloqueio de tráfego RDP entre zonas de segurança no firewall. Verifique regularmente os membros do grupo
Usuários da área de trabalho remota . Remova o grupo de administradores da lista de grupos que têm permissão para efetuar login via RDP. Se o acesso remoto for necessário, restrinja os direitos do usuário remoto. Use
gateways de área de trabalho remota e autenticação multifator para logon remoto. Não deixe o RDP acessível da Internet. Modifique o GPO definindo tempos limite e o tempo máximo em que uma sessão remota pode estar ativa. Altere o GPO para indicar o tempo máximo em que a sessão remota desconectada permanece ativa no servidor host.
Como o uso do RDP pode ser um processo completamente legítimo, os indicadores de atividade maliciosa podem ser padrões de acesso e ações que ocorrem após um logon remoto, por exemplo, usuários que efetuam logon em sistemas que geralmente não acessam ou efetuam login em vários sistemas durante quantidade relativamente curta de tempo. A fim de evitar a intercepção de sessões RDP é recomendada para monitorar Tscon.exe uso e criar serviços que o uso cmd.exe /kou cmd.exe /cem seus argumentos.Sistema: Windows, Linux, macOSDireitos: Descrição do usuário:Os arquivos podem ser copiados de um sistema para outro para implantar ferramentas inimigas ou outros arquivos durante uma operação. Os arquivos podem ser copiados de um sistema externo controlado por um invasor, através do canal C&C ou usando outras ferramentas usando protocolos alternativos, como FTP. Os arquivos também podem ser copiados para Mac e Linux usando ferramentas internas como scp, rsync, sftp. Os inimigos também podem copiar arquivos lateralmente entre os sistemas internos de vítimas para suportar o movimento da rede e a execução remota de comandos. Isso pode ser feito usando protocolos de compartilhamento de arquivos, conectando recursos de rede via SMB ou usando conexões autenticadas com compartilhamentos de administrador do Windows ou RDP.Recomendações de proteção:O uso de sistemas IDS / IPS que usam assinaturas para identificar tráfego malicioso ou transferência de dados incomuns por meio de ferramentas e protocolos conhecidos como FTP, que podem ser usados para reduzir a atividade no nível da rede. As assinaturas geralmente são usadas para detectar indicadores de protocolo exclusivos e são baseadas em uma técnica de ofuscação específica usada por um invasor ou ferramenta específica e provavelmente serão diferentes para diferentes famílias e versões de malware. É provável que os invasores modifiquem a assinatura das ferramentas C2 ou criem protocolos de maneira a evitar a detecção por ferramentas de segurança conhecidas.Como meio de detecção, é recomendável monitorar a criação e a transferência de arquivos pela rede via SMB. Processos incomuns com conexões de rede externas que criam arquivos no sistema podem ser suspeitos. O uso atípico de utilitários como FTP também pode ser suspeito. Também é recomendável analisar dados de rede para fluxos de dados incomuns; por exemplo, o cliente envia significativamente mais dados do que recebe do servidor. Os processos de rede que normalmente não têm conectividade de rede também são suspeitos. Examine o conteúdo do pacote para encontrar conexões que não correspondem ao protocolo e à porta usados.Sistema: Windows, Linux, macOSDescrição: Os invasores podem usar contas válidas para efetuar login em um serviço projetado para aceitar conexões de rede, como telnet, SSH ou VNC. Depois disso, o adversário poderá executar ações em nome do usuário que efetuou login no sistema. Considerações desegurança: limite o número de contas que os serviços remotos podem usar. Use autenticação multifator sempre que possível. Limite as permissões para contas com maior risco de comprometimento, por exemplo, configure o SSH para que os usuários possam executar apenas determinados programas. Impedir técnicas de acesso a credenciaisisso pode permitir que um invasor adquira credenciais válidas. Relacione a atividade de logon associada aos serviços remotos ao comportamento incomum ou outra atividade maliciosa ou suspeita. Antes de tentar avançar na rede, um invasor provavelmente precisará aprender sobre o ambiente e os relacionamentos entre sistemas usando técnicas de detecção .Sistema: WindowsDescrição: A técnica envolve a execução de um programa malicioso usando a função de execução automática no Windows. Para enganar o usuário, um arquivo “legítimo” pode ser pré-modificado ou substituído e, em seguida, copiado para um dispositivo removível por um invasor. Além disso, a carga útil pode ser implementada no firmware do dispositivo removível ou através do programa inicial de formatação de mídia.Recomendações de proteção: Desabilitando os recursos de execução automática no Windows. Limitando o uso de dispositivos removíveis no nível da política de segurança da organização. Aplicação de software antivírus.Sistema: macOS, LinuxDescrição:O Secure Shell (SSH) é uma ferramenta de acesso remoto padrão no Linux e macOS que permite ao usuário conectar-se a outro sistema através de um túnel criptografado, geralmente com pares de chaves de senha, certificado ou criptografia assimétrica. Para avançar pela rede a partir de um host comprometido, os oponentes podem tirar proveito das relações de confiança estabelecidas com outros sistemas por meio da autenticação de chave pública em sessões SSH ativas, interceptando uma conexão existente com outro sistema. Isso pode ser devido a um comprometimento do próprio agente SSH ou ao acesso ao soquete do agente. Se o adversário puder obter acesso root no sistema, a captura adicional de sessões SSH será uma tarefa trivial. Comprometer um agente SSH também intercepta credenciais SSH.A técnica de seqüestro de SSH é diferente de usar a técnica de serviços remotos porque se integra a uma sessão SSH existente, em vez de criar uma nova sessão usando contas válidas.:Certifique-se de que os pares de chaves SSH tenham senhas fortes e evite usar tecnologias de armazenamento de chaves, como ssh-agent, se não estiverem protegidas adequadamente. Certifique-se de que todas as chaves privadas sejam armazenadas com segurança em locais que somente o proprietário legítimo possa acessar com uma senha complexa e frequentemente alterada. Verifique se as permissões do arquivo estão corretas e fortaleça o sistema para impedir que privilégios de root sejam elevados. Não permita acesso remoto via SSH com privilégios de root ou outras contas privilegiadas. Verifique se o encaminhamento do agente está desativado em sistemas nos quais não é explicitamente necessário. Considerando que o uso do SSH por si só pode ser legítimo, dependendo do ambiente de rede e de como ele é usado,indicadores de uso suspeito ou malicioso do SSH podem ser vários padrões de acesso e comportamento subseqüente. Por exemplo, contas que fazem logon em sistemas aos quais geralmente não acessam ou se conectam a vários sistemas por um curto período de tempo. Também é recomendável que você rastreie os arquivos de soquete dos agentes SSH do usuário que são usados por usuários diferentes.Sistema: WindowsDescrição:Um adversário pode colocar conteúdo malicioso em um site que tenha um diretório público de raiz da web ou outro diretório público para veicular conteúdo da Web no segmento interno da rede e, em seguida, navegue até esse conteúdo usando um navegador da Web para forçar o servidor a executá-lo. Geralmente, o conteúdo malicioso é iniciado no contexto do processo do servidor da Web, geralmente, dependendo de como o servidor da Web está configurado, isso resulta em privilégios administrativos ou no sistema local. Esse mecanismo de compartilhamento e execução remota de código pode ser usado para mudar para um sistema executando um servidor da web. Por exemplo, um servidor Web executando PHP com uma raiz pública da Web pode permitir que um invasor baixe ferramentas RAT para o SO do servidor Web quando visitar uma página específica.Recomendações de proteção:As redes nas quais os usuários têm permissão para realizar desenvolvimento aberto, teste de conteúdo e iniciar seus próprios servidores da Web são especialmente vulneráveis se os sistemas e servidores da Web não estiverem adequadamente protegidos: o uso de contas privilegiadas é ilimitado, o acesso aos recursos da rede é possível sem autenticação e também não. isolamento de rede da rede / sistema. Verifique se as permissões para diretórios acessíveis pelo servidor da Web estão corretas. Negar acesso remoto ao diretório raiz (raiz da web) do site ou a outros diretórios usados para fornecer conteúdo da web. Desative a execução nos diretórios webroot. Verifique se as permissões do processo do servidor da web são apenas as necessárias. Não use contas internas; em vez disso, crie contas específicas para limitar o acesso desnecessário ou para cruzar permissões em vários sistemas.Use o monitoramento de processos para determinar quando os arquivos foram gravados em um servidor da Web por um processo que não é normal para um servidor da Web ou quando os arquivos foram gravados fora dos períodos administrativos. Use o monitoramento de processos para determinar processos normais e subsequentemente detectar processos anormais que geralmente não são executados no servidor da web.Sistema: WindowsDireitos: Descrição do Usuário : O conteúdo das unidades de rede pública e outros armazenamentos pode ser corrompido pela adição de programas, scripts ou códigos maliciosos aos arquivos hospedados. Assim que o usuário abre o conteúdo corrompido, a parte maliciosa pode ser executada para iniciar o código malicioso no sistema remoto. Os opositores podem usar o método acima para avançar lateralmente.Há outro tipo de técnica que usa vários outros métodos de disseminação de malware quando os usuários obtêm acesso a um diretório de rede compartilhado. Sua essência é modificar atalhos ( Modificação de Atalhos) diretórios (.lnk) usando mascaramento para que os rótulos pareçam diretórios reais que foram ocultados anteriormente. .Lnk malicioso possui um comando interno que executa um arquivo malicioso oculto e abre o diretório real esperado pelo usuário. A implementação dessa técnica em diretórios de rede usados com freqüência pode levar a infecções repetidas e frequentes e, como resultado, um invasor obtendo amplo acesso aos sistemas e, possivelmente, a novas contas mais privilegiadas.Recomendações de proteção:Proteja pastas compartilhadas, minimizando o número de usuários com permissões de gravação. Use utilitários que possam detectar ou impedir explorações no primeiro sinal, como o Microsoft Mitigation Experience Toolkit (EMET). Reduza o risco potencial de promoção lateral usando serviços de colaboração e gerenciamento de documentos baseados na Web que não usam compartilhamento de arquivos e diretórios.Identifique e bloqueie softwares potencialmente perigosos e mal-intencionados que podem ser usados para corromper o conteúdo usando ferramentas como AppLocker ou Políticas de Restrição de Software .Recomenda-se a verificação frequente de diretórios de rede compartilhados em busca de arquivos maliciosos, arquivos .LNK ocultos e outros tipos de arquivos que não são típicos de um diretório específico. A suspeita deve ser causada por processos que gravam ou sobrescrevem muitos arquivos em um diretório de rede comum, bem como processos executados a partir de mídia removível.Sistema: Windows, Linux, macOSDireitos: Usuário, administrador,Descrição do sistema : Sistemas de implantação de software e software de terceiros (SCCM, VNC, HBSS, Altris, etc.) usados na rede para fins administrativos podem ser usados por um invasor para executar remotamente código em todos os hosts conectados a esses sistemas. Os direitos necessários para implementar esta técnica dependem da configuração específica do sistema. As credenciais locais podem ser suficientes para acessar o servidor de implantação de software; no entanto, uma conta de administrador pode ser necessária para iniciar a implantação do software.Recomendações de proteção:Verifique o nível de segurança dos seus sistemas de implantação de software. Verifique se o acesso aos sistemas de gerenciamento de software é limitado, controlado e protegido. Use estritamente políticas de pré-aprovação obrigatórias para implantação remota de software. Forneça acesso aos sistemas de implantação de software a um número limitado de administradores, assegure o isolamento do sistema de implantação de software. Verifique se as credenciais para acessar o sistema de implantação de software são exclusivas e não são usadas em outros serviços na rede corporativa. Se o sistema de implantação de software estiver configurado para executar apenas arquivos binários assinados, verifique se os certificados confiáveis não estão armazenados no próprio sistema de implantação de software, mas estão localizados em um sistema que não pode ser acessado remotamente.Sistema: WindowsDireitos: Descrição do Usuário : Os sistemas Windows possuem pastas de rede ocultas que são acessíveis apenas aos administradores e permitem copiar remotamente arquivos e outras funções administrativas. Exemplos de compartilhamentos de administração do Windows: C $, ADMIN $, IPC $.Os oponentes podem usar essa técnica em combinação com as contas existentes no nível de administrador para acesso remoto ao sistema via SMB (Server Messege Block), interagindo com sistemas usando RPC, transferir arquivos e executar arquivos binários migrados usando técnicas de Execução. Exemplos de métodos de execução baseados em sessões autenticadas por meio do SMB / RPC são tarefas agendadas, serviços de inicialização e WMI. Os oponentes também podem usar hashes NTLM para obter acesso a compartilhamentos de administrador por meio do passe-a-Hash. O comando net use, com credenciais válidas, pode ser usado para conectar o sistema remoto aos compartilhamentos de administrador do Windows.Recomendações de proteção: não use as mesmas senhas para contas de administrador local em sistemas diferentes. Verifique se as senhas são complexas e exclusivas para que não possam ser adivinhadas ou decifradas. Desabilite o logon remoto na conta de administrador local interna. Não permita que as contas de usuário sejam membros do grupo de administradores locais de vários sistemas.Identifique e bloqueie o software potencialmente perigoso e mal-intencionado que pode ser usado para operar SMB e Admin Shares usando o AppLocker ou as Políticas de restrição de software .Forneça coleta e armazenamento centralizados de credenciais de login. O Encaminhamento de Eventos do Windows permite coletar dados sobre o uso bem-sucedido / malsucedido de contas que poderiam ser usadas para navegar na rede. Acompanhe as ações de usuários remotos que se conectam aos compartilhamentos de administrador. Acompanhe o uso de ferramentas e comandos usados para conectar-se a compartilhamentos de rede, como o utilitário Net, ou procure sistemas acessíveis remotamente.Sistema: WindowsDireitos: Usuário, AdministradorDescrição: WinRM é o nome de um serviço e protocolo que permite a interação remota do usuário com o sistema (por exemplo, iniciar um arquivo, alterar o registro, alterar um serviço. Para iniciar, use o comando winrm e outros programas, como o PowerShell.Recomendações de segurança: desative o serviço WinRM, se necessário, isole a infraestrutura com o WinRM com contas e permissões separadas Siga as diretrizes do WinRM para definir métodos de autenticação e usar firewalls centenas para restringir o acesso ao WinRM e permitir o acesso somente a partir de determinados dispositivos.