T1563
ربودن سشن سرویس راه دور
Remote Service Session Hijackingتوضیحات
مهاجمان سشنهای سرویس راه دور فعال کاربران دیگر را برای حرکت جانبی و دسترسی به سیستمهای دیگر میربایند.
زیرتکنیکها (2)
شناسهنام
ربودن سشن SSHSSH Hijacking
مهاجمان سشنهای SSH فعال را برای حرکت جانبی میربایند.
ربودن سشن RDPRDP Hijacking
مهاجمان سشنهای RDP فعال کاربران دیگر را برای حرکت جانبی میربایند.
روشهای شناسایی
نظارت بر سشنهای راه دور غیرمعمول. بررسی دستوراتی مانند query session و tscon. نظارت بر رویدادهای سشن RDP.
روشهای مقابله
محدود کردن مجوزهای مدیریت سشن. استفاده از Network Level Authentication برای RDP. نظارت بر سشنهای فعال.