Règle de la semaine : Exécution de commande sur une VM Azure

[post-views]
juin 05, 2020 · 2 min de lecture
Règle de la semaine : Exécution de commande sur une VM Azure

Dans la Règle de la semaine section, nous vous présentons la Exécution de commande sur Azure VM (via azureactivity) règle par l’équipe SOC Prime : https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#

  Les adversaires peuvent abuser des fonctionnalités de l’Azure VM pour établir une présence dans un environnement, qui pourrait être utilisée pour maintenir l’accès et augmenter les privilèges. Ils peuvent exploiter la fonction de commande Run qui utilise l’agent de la machine virtuelle (VM) pour exécuter des scripts PowerShell dans une VM Windows Azure. L’exploitation de cette fonctionnalité permet d’exécuter des commandes même lorsque la VM est injoignable (par exemple si les ports RDP ou SSH sont fermés) via le portail Azure, l’API REST, l’Azure CLI ou PowerShell. 

La règle dispose de traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness,

EDR : Elastic Endpoint

 

MITRE ATT&CK : 

Tactiques : Accès Initial, Exécution, Persistance, Élévation de Privilèges, Évasion de la Détection

Techniques : Interface en Ligne de Commande (T1059), Accès Redondant (T1108), Comptes Valides (T1078)

 

La règle d’exécution de commande sur Azure VM (via azureactivity) couvre trois techniques MITRE ATT&CK. Pour réussir cette attaque sur l’infrastructure Azure et exécuter des commandes, les hackers ont besoin d’un accès à un compte de domaine. Nous voulons offrir une liste de contenus disponibles sur le Threat Detection Marketplace qui vous aidera à découvrir les tentatives de vol de crédentiels.

Récolte de Crédentiels à partir du Gestionnaire de Crédentiels Windows (via cmdline) : https://tdm.socprime.com/tdm/info/41LYkTLe4g4a/iSGyYHIBjwDfaYjKFbEf/

Paquet de règles de surveillance de la sécurité VPN : https://my.socprime.com/en/integrations/vpn-security-monitor

Pack de règles de surveillance de sécurité pour la plateforme SaaS Office365 : https://my.socprime.com/en/integrations/security-monitoring-for-office365-saas-platform-ala

Pack de règles de sécurité des mots de passe : https://my.socprime.com/en/integrations/password-security-sentinel

Pack de règles de détection de force brute : https://my.socprime.com/en/integrations/brute-force-detection

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Règle de la semaine : Abus du mise à jour de Microsoft Teams
Blog, Dernières Menaces — 2 min de lecture
Règle de la semaine : Abus du mise à jour de Microsoft Teams
Eugene Tkachenko
Règle de la Semaine : Détection de rançongiciel VHD
Blog, Dernières Menaces — 2 min de lecture
Règle de la Semaine : Détection de rançongiciel VHD
Eugene Tkachenko
CVE-2020-3452 : Lecture de fichier non authentifiée dans Cisco ASA et Cisco Firepower Détection
Blog, Dernières Menaces — 3 min de lecture
CVE-2020-3452 : Lecture de fichier non authentifiée dans Cisco ASA et Cisco Firepower Détection
Eugene Tkachenko