T1133: ЗОВНІШНІ СЕРВІСИ ВІДДАЛЕНОГО ДОСТУПУ
Зловмисники використовують легітимні зовнішні сервіси (VPN, Citrix, RDP, VNC) для проникнення в мережу або підтримки постійного доступу. Замість зламу системи, вони часто використовують викрадені дійсні облікові дані (Valid Accounts). У контейнеризованих середовищах (Docker, Kubernetes) атака може здійснюватися через відкриті API без автентифікації. Також зловмисники можуть створювати приховані сервіси Tor для обходу фаєрволів та забезпечення резервного каналу керування.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть використовувати зовнішні віддалені сервіси для початкового доступу та/або закріплення в мережі. Віддалені сервіси, такі як VPN, Citrix та інші механізми доступу, дозволяють користувачам підключатися до внутрішніх ресурсів корпоративної мережі із зовнішніх локацій. Часто існують шлюзи віддалених сервісів, які керують з’єднаннями та автентифікацією облікових даних для цих служб. Такі сервіси, як Windows Remote Management (WinRM) та VNC, також можуть використовуватися ззовні.
Для використання сервісу часто потрібен доступ до дійсних облікових даних (Valid Accounts), які можна отримати шляхом збору паролів (pharming) або отримання облікових даних користувачів після компрометації корпоративної мережі. Доступ до віддалених сервісів може використовуватися як резервний або постійний механізм доступу під час операції.
Доступ також може бути отриманий через відкритий сервіс, який не вимагає автентифікації. У контейнеризованих середовищах це може бути відкритий Docker API, сервер API Kubernetes, kubelet або веб-додаток, такий як панель управління (dashboard) Kubernetes.
Зловмисники також можуть забезпечити стійкість у мережі, налаштувавши приховану службу Tor на скомпрометованій системі. Вони можуть використовувати інструмент ShadowLink для полегшення встановлення та налаштування прихованої служби Tor. Після цього прихована служба Tor стає доступною через мережу Tor, оскільки ShadowLink створює адресу .onion на скомпрометованій системі. ShadowLink може використовуватися для пересилання будь-яких вхідних з’єднань на RDP, що дозволяє зловмисникам мати віддалений доступ. Зловмисники можуть змусити ShadowLink закріпитися в системі, маскуючи його під додаток MS Defender.
Чому це важко виявити?
- Легітимність трафіку: Вхід через VPN виглядає для системи безпеки як звичайна робота співробітника з дому.
- Обхід периметра: Використання Tor (через ShadowLink) дозволяє зловмиснику ініціювати з’єднання «зсередини назовні», що зазвичай дозволяється більшістю фаєрволів.
- Відсутність шкідливого ПЗ: Якщо зловмисник використовує лише RDP та легітимні адмін-інструменти, антивіруси не знайдуть підозрілих файлів.
Як захиститися?
- Обов’язкова MFA: Багатофакторна автентифікація для всіх зовнішніх підключень (VPN, Citrix, RDP).
- Геоблокування: Обмеження доступу до сервісів з IP-адрес країн, де компанія не веде бізнес.
- Моніторинг аномалій: Відстеження входів у нетиповий час або з нетипових пристроїв.
- Аудит Docker/K8s: Закриття доступу до API-портів (2375, 6443) із зовнішньої мережі.