T1133-外部远程服务
来自ATT&CK的描述
VPN,Citrix和其他访问机制等远程服务使用户可以从外部位置连接到内部企业网络资源。经常有远程服务网关管理这些服务的连接和凭据身份验证。Windows Remote Management等服务也可以在外部使用。 攻击者可以使用远程服务来获得初始访问权限,也可以用作在网内用作持久化。通常需要访问有效帐户才能使用该服务,可以通过凭据篡改或在进入企业网络之后从用户那里获取凭据来获得此权限。在操作过程中,可以将对远程服务的访问用作冗余访问的一部分。
测试案例
按照MITRE官方示例,像VPN、远程桌面、SSH等都可以属于T1133外部远程访问。
检测日志
SSH日志、VPN日志、远程桌面登录日志
测试复现
暂无
测试留痕
暂无
检测规则/思路
遵循最佳实践来检测攻击者对有效帐户的使用,以对远程服务进行身份验证。收集身份验证日志并分析异常访问模式,活动窗口以及正常工作时间之外的访问。
通过VPN进行远程访问攻击,网上有很多案例,不在一一描述。可利用用户账户登录地点、登录时间作为检测条件。远程桌面、SSH也可根据登录地点、登录时间作为检测条件。
参考推荐
MITRE-ATT&CK-T1133