Regel der Woche: Befehlsausführung auf Azure VM

Neueste Bedrohungen

Juni 05, 2020

2 min zu lesen

Regel der Woche: Befehlsausführung auf Azure VM

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

In der Regel der Woche Rubrik präsentieren wir Ihnen die Befehlsausführung auf Azure VM (via azureactivity) Regel vom SOC Prime Team: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#

  Gegner können die Funktionalität von Azure VM ausnutzen, um einen Einstiegspunkt in einer Umgebung zu etablieren, was zur Aufrechterhaltung des Zugriffs und zur Privilegienerweiterung genutzt werden könnte. Sie können die Run Command-Funktion nutzen, die den virtuellen Maschinen-Agenten (VM-Agent) verwendet, um PowerShell-Skripte innerhalb einer Azure Windows VM auszuführen. Die Ausnutzung dieser Funktion ermöglicht die Ausführung von Befehlen, selbst wenn die VM nicht erreichbar ist (z. B. wenn die RDP- oder SSH-Ports geschlossen sind) über das Azure-Portal, die REST-API, Azure CLI oder PowerShell.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness,

EDR: Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Erstzugriff, Ausführung, Beharren, Privilegieneskalation, Defense Evasion

Techniken: Kommandozeilenschnittstelle (T1059), Redundanter Zugriff (T1108), Gültige Konten (T1078)

 

Befehlsausführung auf Azure VM (via azureactivity) Regel deckt drei MITRE ATT&CK-Techniken ab.Um diesen Angriff erfolgreich auf der Azure-Infrastruktur durchzuführen und Befehle auszuführen, benötigen Hacker Zugriff auf ein Domänenkonto. Wir möchten Ihnen eine Liste von Inhalten auf dem Threat Detection Marketplace anbieten, die Ihnen helfen wird, Versuche zum Stehlen von Anmeldedaten zu entdecken.

Ernten von Anmeldedaten aus dem Windows Credential Manager (via cmdline): https://tdm.socprime.com/tdm/info/41LYkTLe4g4a/iSGyYHIBjwDfaYjKFbEf/

VPN-Sicherheitsmonitor-Regelpaket: https://my.socprime.com/en/integrations/vpn-security-monitor

Sicherheitsüberwachung für Office365 SaaS-Plattform-Regelpaket: https://my.socprime.com/en/integrations/security-monitoring-for-office365-saas-platform-ala

Passwortsicherheitsregelpaket: https://my.socprime.com/en/integrations/password-security-sentinel

Brute-Force-Erkennungsregelpaket: https://my.socprime.com/en/integrations/brute-force-detection

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Zahorulko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Zahorulko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Zahorulko