ТЕХНІЧНИЙ ОПИС

Зловмисники можуть використовувати зовнішні віддалені сервіси для початкового доступу та/або закріплення в мережі. Віддалені сервіси, такі як VPN, Citrix та інші механізми доступу, дозволяють користувачам підключатися до внутрішніх мережевих ресурсів підприємства з зовнішніх локацій. Часто існують шлюзи віддалених сервісів, які керують з’єднаннями та автентифікацією облікових даних для цих служб. Такі сервіси, як Windows Remote Management (WinRM) та VNC, також можуть використовуватися ззовні.

Для використання сервісу часто необхідний доступ до валідних облікових записів (Valid Accounts), які можуть бути отримані шляхом збору облікових даних (credential pharming) або безпосередньо від користувачів після компрометації корпоративної мережі. Доступ до віддалених сервісів може використовуватися як резервний або постійний механізм доступу під час операції.

Доступ також може бути отриманий через відкритий сервіс, який не потребує автентифікації. У контейнеризованих середовищах це може включати відкритий Docker API, сервер API Kubernetes, kubelet або веб-застосунки, такі як панель управління (dashboard) Kubernetes.

Зловмисники також можуть забезпечити собі постійний доступ (persistence) до мережі, налаштувавши прихований сервіс Tor на скомпрометованій системі. Для полегшення встановлення та конфігурації такого сервісу може використовуватися інструмент ShadowLink. Після того як ShadowLink налаштовує адресу в домені .onion на зламаній системі, вона стає доступною через мережу Tor. ShadowLink може використовуватися для перенаправлення будь-яких вхідних з’єднань на RDP, що надає зловмисникам віддалений доступ. Щоб ShadowLink залишався в системі непоміченим, зловмисники можуть маскувати його під додаток Microsoft Defender.