Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
из-за уязвимости
Использование Windows Management Instrumentation (WMI)
в Активе
ОС Windows
Описание угрозы
Тактика бокового движения (Lateral Movement) включает методы получения злоумышленником доступа и контроля над удаленными системами, подключенными к атакованной сети, а так же, в некоторых случаях, запуска вредоносных инструментов на удаленных системах, подключенных к атакованной сети. Боковое перемещение по сети позволяет злоумышленнику получать информацию из удаленных систем без использования дополнительных инструментов, таких как утилиты удаленного доступа (RAT).
Описание уязвимости
Злоумышленник может использовать Windows Management Instrumentation (WMI) для взаимодействия с локальными и удаленными системами и использовать его как средство для сбора информации о инфраструктуре и удаленного выполнения кода в рамках горизонтального перемещения. WMI - это функция администрирования Windows, которая обеспечивает единую среду для локального и удаленного доступа к компонентам системы Windows. Он опирается на службу WMI для локального и удаленного доступа, а также на SMB и RPC.
Описание типа актива
Microsoft Windows любых версийОбъекты атаки
Локальная сеть
Классификация
КЦД:
Конфиденциальность
?
Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
Целостность
?
Целостность / integrity Свойство сохранения правильности и полноты активов.
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель -
Низкий потенциал
?
Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, несмотря на то...
Техники ATT@CK:
T1047
Windows Management Instrumentation
Adversaries may abuse Windows Management Instrumentation (WMI) to achieve execution. WMI is a Windows administration feature tha...
Связанные защитные меры
Название | Дата | Влияние | ||
---|---|---|---|---|
Community
9
25
/ 34
|
Выделение ключевых систем в отдельную сеть (сегментация сети)
Разово
Вручную
Техническая
Превентивная
03.05.2022
|
03.05.2022 | 9 25 / 34 | |
Community
6
3
/ 15
|
Межсетевое экранирование на границе сети
Постоянно
Автоматически
Техническая
Превентивная
03.06.2021
|
03.06.2021 | 6 3 / 15 |