T1021.002

SMB/Windows Admin Shares

توضیحات

مهاجمان از اشتراک‌گذاری‌های مدیریتی ویندوز مانند C$ و ADMIN$ برای حرکت جانبی استفاده می‌کنند.

روش‌های شناسایی

نظارت بر اتصالات SMB به اشتراک‌گذاری‌های مدیریتی. بررسی رویدادهای 5140 و 5145.

روش‌های مقابله

غیرفعال کردن اشتراک‌گذاری‌های مدیریتی. محدود کردن دسترسی SMB.

تکنیک اصلی

T1021Remote Services

سرویس‌های راه دور

مهاجمان از اطلاعات اعتباری معتبر برای ورود به سرویس‌های راه دور مانند SSH، RDP، SMB و VNC استفاده می‌کنند تا به سیستم‌های دیگر در شبکه دسترسی پیدا کنند.

سایر زیرتکنیک‌ها (5)

T1021.001 · Remote Desktop Protocol T1021.003 · Distributed Component Object Model T1021.004 · SSH T1021.005 · VNC T1021.006 · Windows Remote Management