Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1021 , T1021.001 , T1021.002 , T1021.003 , T1021.004 , T1021.005 , T1021.006 , T1021.007 , T1021.008
Злоумышленники могут использовать Valid Accounts для взаимодействия с удаленными системами с помощью Windows Remote Management (WinRM). После этого злоумышленник может выполнять действия в качестве вошедшего в систему пользователя.
WinRM - это название как службы Windows, так и протокола, который позволяет пользователю взаимодействовать с удаленной системой (например, запускать исполняемый файл, изменять реестр, модифицировать службы).(Цитата: Microsoft WinRM) Его можно вызвать командой `winrm` или с помощью любого количества программ, таких как PowerShell.(Цитата: Jacobsen 2014) WinRM можно использовать как метод удаленного взаимодействия с Windows Management Instrumentation.(Цитата: MSDN WMI)
https://attack.mitre.org/techniques/T1021/006
Визуализация смежных техник для T1021.006
| № | Техника |
|---|
