Regel der Woche: Befehlsausführung auf Azure VM

[post-views]
Juni 05, 2020 · 2 min zu lesen
Regel der Woche: Befehlsausführung auf Azure VM

In der Regel der Woche Rubrik präsentieren wir Ihnen die Befehlsausführung auf Azure VM (via azureactivity) Regel vom SOC Prime Team: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#

  Gegner können die Funktionalität von Azure VM ausnutzen, um einen Einstiegspunkt in einer Umgebung zu etablieren, was zur Aufrechterhaltung des Zugriffs und zur Privilegienerweiterung genutzt werden könnte. Sie können die Run Command-Funktion nutzen, die den virtuellen Maschinen-Agenten (VM-Agent) verwendet, um PowerShell-Skripte innerhalb einer Azure Windows VM auszuführen. Die Ausnutzung dieser Funktion ermöglicht die Ausführung von Befehlen, selbst wenn die VM nicht erreichbar ist (z. B. wenn die RDP- oder SSH-Ports geschlossen sind) über das Azure-Portal, die REST-API, Azure CLI oder PowerShell.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness,

EDR: Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Erstzugriff, Ausführung, Beharren, Privilegieneskalation, Defense Evasion

Techniken: Kommandozeilenschnittstelle (T1059), Redundanter Zugriff (T1108), Gültige Konten (T1078)

 

Befehlsausführung auf Azure VM (via azureactivity) Regel deckt drei MITRE ATT&CK-Techniken ab.Um diesen Angriff erfolgreich auf der Azure-Infrastruktur durchzuführen und Befehle auszuführen, benötigen Hacker Zugriff auf ein Domänenkonto. Wir möchten Ihnen eine Liste von Inhalten auf dem Threat Detection Marketplace anbieten, die Ihnen helfen wird, Versuche zum Stehlen von Anmeldedaten zu entdecken.

Ernten von Anmeldedaten aus dem Windows Credential Manager (via cmdline): https://tdm.socprime.com/tdm/info/41LYkTLe4g4a/iSGyYHIBjwDfaYjKFbEf/

VPN-Sicherheitsmonitor-Regelpaket: https://my.socprime.com/en/integrations/vpn-security-monitor

Sicherheitsüberwachung für Office365 SaaS-Plattform-Regelpaket: https://my.socprime.com/en/integrations/security-monitoring-for-office365-saas-platform-ala

Passwortsicherheitsregelpaket: https://my.socprime.com/en/integrations/password-security-sentinel

Brute-Force-Erkennungsregelpaket: https://my.socprime.com/en/integrations/brute-force-detection

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Regel der Woche: Missbrauch des Microsoft Teams Updaters
Blog, Neueste Bedrohungen — 2 min zu lesen
Regel der Woche: Missbrauch des Microsoft Teams Updaters
Eugene Tkachenko
Regel der Woche: VHD Ransomware-Erkennung
Blog, Neueste Bedrohungen — 2 min zu lesen
Regel der Woche: VHD Ransomware-Erkennung
Eugene Tkachenko
CVE-2020-3452: Unauthentifizierter Dateizugriff in Cisco ASA & Cisco Firepower Erkennung
Blog, Neueste Bedrohungen — 2 min zu lesen
CVE-2020-3452: Unauthentifizierter Dateizugriff in Cisco ASA & Cisco Firepower Erkennung
Eugene Tkachenko