T1021

سرویس‌های راه دور

Remote Services

توضیحات

مهاجمان از اطلاعات اعتباری معتبر برای ورود به سرویس‌های راه دور مانند SSH، RDP، SMB و VNC استفاده می‌کنند تا به سیستم‌های دیگر در شبکه دسترسی پیدا کنند.

زیرتکنیک‌ها (6)

شناسهنام

T1021.001

Remote Desktop ProtocolRemote Desktop Protocol

مهاجمان از RDP برای ورود تعاملی به سیستم‌های راه دور ویندوز استفاده می‌کنند.

T1021.002

SMB/Windows Admin SharesSMB/Windows Admin Shares

مهاجمان از اشتراک‌گذاری‌های مدیریتی ویندوز مانند C$ و ADMIN$ برای حرکت جانبی استفاده می‌کنند.

T1021.003

Distributed Component Object ModelDistributed Component Object Model

مهاجمان از DCOM برای اجرای کد روی سیستم‌های راه دور استفاده می‌کنند.

T1021.004

SSHSSH

مهاجمان از SSH برای ورود به سیستم‌های لینوکس و macOS راه دور استفاده می‌کنند.

T1021.005

VNCVNC

مهاجمان از VNC برای دسترسی گرافیکی راه دور به سیستم‌ها استفاده می‌کنند.

T1021.006

Windows Remote ManagementWindows Remote Management

مهاجمان از WinRM برای اجرای دستورات و اسکریپت‌ها روی سیستم‌های راه دور ویندوز استفاده می‌کنند.

روش‌های شناسایی

نظارت بر ورودهای راه دور با اطلاعات اعتباری غیرمعمول. بررسی اتصالات RDP، SSH و SMB از منابع غیرمنتظره. نظارت بر رویدادهای 4624 و 4648.

روش‌های مقابله

استفاده از MFA برای سرویس‌های راه دور. محدود کردن دسترسی به سرویس‌های راه دور با firewall. پیاده‌سازی jump server.