T1021.006

Windows Remote Management

توضیحات

مهاجمان از WinRM برای اجرای دستورات و اسکریپت‌ها روی سیستم‌های راه دور ویندوز استفاده می‌کنند.

روش‌های شناسایی

نظارت بر اتصالات WinRM. بررسی اجرای دستورات از راه دور با PowerShell Remoting.

روش‌های مقابله

محدود کردن دسترسی WinRM. غیرفعال کردن WinRM در صورت عدم نیاز.

تکنیک اصلی

T1021Remote Services

سرویس‌های راه دور

مهاجمان از اطلاعات اعتباری معتبر برای ورود به سرویس‌های راه دور مانند SSH، RDP، SMB و VNC استفاده می‌کنند تا به سیستم‌های دیگر در شبکه دسترسی پیدا کنند.

سایر زیرتکنیک‌ها (5)

T1021.001 · Remote Desktop Protocol T1021.002 · SMB/Windows Admin Shares T1021.003 · Distributed Component Object Model T1021.004 · SSH T1021.005 · VNC