Regla de la Semana: Ejecución de Comandos en Azure VM

[post-views]
junio 05, 2020 · 2 min de lectura
Regla de la Semana: Ejecución de Comandos en Azure VM

En la Regla de la Semana sección, te presentamos la Ejecución de Comandos en Azure VM (vía azureactivity) regla del equipo de SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#

  Los adversarios pueden abusar de la funcionalidad de Azure VM para establecer un punto de apoyo en un entorno, lo que podría ser utilizado para mantener el acceso y escalar privilegios. Pueden explotar la característica de Ejecución de Comandos que utiliza el agente de la máquina virtual (VM) para ejecutar scripts de PowerShell dentro de una Azure Windows VM. La explotación de esta característica permite ejecutar comandos incluso cuando la VM no es accesible (por ejemplo, si los puertos RDP o SSH están cerrados) a través del Portal de Azure, la API REST, la CLI de Azure o PowerShell.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness,

EDR: Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Acceso Inicial, Ejecución, Persistencia, Escalada de Privilegios, Evasión de Defensa

Técnicas: Interfaz de Línea de Comandos (T1059), Acceso Redundante (T1108), Cuentas Válidas (T1078)

 

La regla de Ejecución de Comandos en Azure VM (vía azureactivity) cubre tres técnicas de MITRE ATT&CK.Para realizar con éxito este ataque en la infraestructura de Azure y ejecutar comandos, los hackers necesitan acceso a una cuenta de dominio. Queremos ofrecerte una lista de contenido disponible en el Mercado de Detección de Amenazas que te ayudará a descubrir intentos de robar credenciales.

Recolección de Credenciales desde Windows Credential Manager (vía cmdline): https://tdm.socprime.com/tdm/info/41LYkTLe4g4a/iSGyYHIBjwDfaYjKFbEf/

Paquete de Reglas de Monitorización de Seguridad VPN: https://my.socprime.com/en/integrations/vpn-security-monitor

Paquete de Reglas de Monitorización de Seguridad para Plataforma SaaS de Office365: https://my.socprime.com/en/integrations/security-monitoring-for-office365-saas-platform-ala

Paquete de Reglas de Seguridad de Contraseñas: https://my.socprime.com/en/integrations/password-security-sentinel

Paquete de Reglas de Detección de Fuerza Bruta: https://my.socprime.com/en/integrations/brute-force-detection

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Regla de la Semana: Abuso del Actualizador de Microsoft Teams
Blog, Últimas Amenazas — 2 min de lectura
Regla de la Semana: Abuso del Actualizador de Microsoft Teams
Eugene Tkachenko
Regla de la Semana: Detección de Ransomware VHD
Blog, Últimas Amenazas — 2 min de lectura
Regla de la Semana: Detección de Ransomware VHD
Eugene Tkachenko
CVE-2020-3452: Lectura de Archivos no Autenticada en Cisco ASA y Detección de Cisco Firepower
Blog, Últimas Amenazas — 3 min de lectura
CVE-2020-3452: Lectura de Archivos no Autenticada en Cisco ASA y Detección de Cisco Firepower
Eugene Tkachenko