Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1072 - Средства развертывания программного обеспечения

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1072

Злоумышленники могут получить доступ к централизованным программным комплексам, установленным на предприятии, и использовать их для выполнения команд и перемещения по сети. Приложения для управления конфигурацией и развертывания программного обеспечения могут использоваться в корпоративной сети или облачной среде для целей рутинного администрирования. Эти системы также могут быть интегрированы в конвейеры CI/CD. Примеры таких решений включают: SCCM, HBSS, Altiris, AWS Systems Manager, Microsoft Intune, Azure Arc и GCP Deployment Manager.

Доступ к программному обеспечению для управления конечными точками в масштабах всей сети или предприятия может позволить злоумышленнику добиться удаленного выполнения кода на всех подключенных системах. Доступ может быть использован для перехода к другим системам, сбора информации или достижения определенного эффекта, например стирания жестких дисков на всех конечных устройствах.

Службы управления конфигурацией на базе SaaS могут предоставлять широкие возможности Cloud Administration Command для экземпляров, размещенных в «облаке», а также выполнять произвольные команды на локальных конечных точках. Например, Microsoft Configuration Manager позволяет администраторам Global или Intune запускать сценарии как SYSTEM на локальных устройствах, подключенных к Entra ID.(Цитата: SpecterOps Lateral Movement from Azure to On-Prem AD 2020) Такие службы могут также использовать Web Protocols для обратной связи с инфраструктурой, принадлежащей противнику.(Цитата: Mitiga Security Advisory: SSM Agent as Remote Access Trojan)

Устройства сетевой инфраструктуры также могут иметь средства управления конфигурацией, которыми злоумышленники могут аналогичным образом воспользоваться.(Цит. по Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation).

Разрешения, необходимые для выполнения этого действия, зависят от конфигурации системы; локальных учетных данных может быть достаточно для прямого доступа к сторонней системе, или могут потребоваться учетные данные конкретного домена. Однако для входа в систему или для доступа к определенным функциям может потребоваться учетная запись администратора.

https://attack.mitre.org/techniques/T1072

← Назад

Визуализация смежных техник для T1072

Отрасль:
 с подтехниками
Техника

Закрыть