T1072: ІНСТРУМЕНТИ РОЗГОРТАННЯ ПЗ
Зловмисники зловживають централізованими системами управління (SCCM, Microsoft Intune, AWS Systems Manager), щоб виконувати команди на великій кількості систем одночасно. Отримавши доступ до консолі адміністратора, атакуючі можуть дистанційно запускати скрипти з правами SYSTEM на всіх підключених робочих станціях та серверах, що дозволяє миттєво захопити всю мережу або знищити дані на тисячах пристроїв.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть отримувати доступ до централізованих програмних пакетів, встановлених на підприємстві, та використовувати їх для виконання команд і горизонтального переміщення (Lateral Movement) по мережі. Додатки для керування конфігурацією та розгортання ПЗ можуть використовуватися в корпоративній мережі або хмарному середовищі для рутинних цілей адміністрування. Ці системи також можуть бути інтегровані в конвеєри CI/CD. Прикладами таких рішень є: SCCM, HBSS, Altiris, AWS Systems Manager, Microsoft Intune, Azure Arc та GCP Deployment Manager.
Доступ до ПЗ для управління кінцевими точками в масштабах всієї мережі або підприємства може дозволити зловмиснику досягти віддаленого виконання коду на всіх підключених системах. Цей доступ може бути використаний для переміщення на інші системи, збору інформації або спричинення специфічного ефекту, наприклад, стирання жорстких дисків на всіх кінцевих точках.
SaaS-сервіси керування конфігурацією можуть надавати широкі можливості для команд хмарного адміністрування на хмарних інстансах, а також для виконання довільних команд на локальних (on-premises) пристроях. Наприклад, Microsoft Configuration Manager дозволяє адміністраторам Global або Intune запускати скрипти від імені SYSTEM на локальних пристроях, приєднаних до Entra ID. Такі сервіси також можуть використовувати веб-протоколи для зв’язку з інфраструктурою, що належить зловмиснику.
Пристрої мережевої інфраструктури також можуть мати інструменти керування конфігурацією, якими зловмисники можуть зловживати аналогічним чином.
Дозволи, необхідні для цієї дії, залежать від конфігурації системи; локальних облікових даних може бути достатньо при наявності прямого доступу до сторонньої системи, або можуть знадобитися специфічні доменні облікові дані. Проте система може вимагати адміністративного облікового запису для входу або доступу до певних функцій.
Ризики для організації:
- Масштабність: Можливість виконати команду format C: або запустити шифрувальник на всіх ПК компанії однією кнопкою.
- Довіра: Антивіруси (EDR/AV) часто мають виключення (exclusions) для папок та процесів інструментів розгортання, що робить атаку непомітною.
- Привілеї: Агенти розгортання зазвичай працюють з найвищими правами в системі.