Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1021 , T1021.001 , T1021.002 , T1021.003 , T1021.004 , T1021.005 , T1021.006 , T1021.007 , T1021.008
Злоумышленники могут использовать Valid Accounts для взаимодействия с удаленным сетевым ресурсом с помощью Server Message Block (SMB). После этого злоумышленник может выполнять действия в качестве вошедшего в систему пользователя.
SMB - это протокол совместного доступа к файлам, принтерам и последовательным портам для машин Windows в одной сети или домене. Вредоносные программы могут использовать SMB для взаимодействия с общими файловыми ресурсами, что позволяет им перемещаться по сети. В Linux и macOS для реализации SMB обычно используется Samba.
В системах Windows есть скрытые сетевые ресурсы, доступные только администраторам и обеспечивающие возможность удаленного копирования файлов и других административных функций. В качестве примера можно привести сетевые ресурсы `C$`, `ADMIN$` и `IPC$`. Злоумышленники могут использовать эту технику в сочетании с Valid Accounts на уровне администратора для удаленного доступа к сетевой системе через SMB, (Цитата: Wikipedia Server Message Block) для взаимодействия с системами с помощью удаленных вызовов процедур (RPC), (Цитата: TechNet RPC) передачи файлов и запуска переданных двоичных файлов через удаленное исполнение. Примерами техник выполнения, которые полагаются на аутентифицированные сеансы через SMB/RPC, являются Scheduled Task/Job, Service Execution и Windows Management Instrumentation.Злоумышленники также могут использовать хэши NTLM для доступа к общим ресурсам администратора в системах с Pass the Hash и определенными уровнями конфигурации и исправлений.(Цитата: Microsoft Admin Shares)
https://attack.mitre.org/techniques/T1021/002
Визуализация смежных техник для T1021.002
| № | Техника |
|---|
