Карточка риска

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Угроза

Боковое перемещение злоумышленника по локальной сети

из-за уязвимости

Возможность удаленного управления Windows с помощью службы WinRM

в Активе

ОС Windows

Описание угрозы

Тактика бокового движения (Lateral Movement) включает методы получения злоумышленником доступа и контроля над удаленными системами, подключенными к атакованной сети, а так же, в некоторых случаях, запуска вредоносных инструментов на удаленных системах, подключенных к атакованной сети. Боковое перемещение по сети позволяет злоумышленнику получать информацию из удаленных систем без использования дополнительных инструментов, таких как утилиты удаленного доступа (RAT).

Описание уязвимости

WinRM (или Windows Remote Management) - служба удаленного управления для операционных систем Windows. Она входит в состав операционных систем начиная с Vista и Server 2008. WinRM – серверная часть приложения удаленного управления, к которому возможно удаленное подключение с помощью клиента Windows Remote Shell (WinRS). WinRM — это имя службы и протокола, который позволяет удаленное взаимодействие пользователя с системой (например, запуск файла, изменение реестра, изменение службы. Для запуска используется команда winrm и другие программы, такие как PowerShell.

Описание типа актива

Microsoft Windows любых версий

Область действия: Вся организация

Объекты атаки Локальная сеть

Классификация

КЦД: Конфиденциальность Целостность

Источники угрозы

Внешний нарушитель - Низкий потенциал

Внутренний нарушитель - Низкий потенциал

Каталоги

Техники ATT&CK:

T1021.006 Remote Services: Windows Remote Management

Связанные защитные меры

	Название	Дата	Влияние
Community 9 31 / 97	Выделение ключевых систем в отдельную сеть (сегментация сети) Вручную Техническая Превентивная 03.05.2022	03.05.2022	9 31 / 97
Community 7 5 / 42	Межсетевое экранирование на границе сети Автоматически Техническая Превентивная 03.06.2021	03.06.2021	7 5 / 42

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.