Regola della settimana: Esecuzione di comandi su Azure VM

[post-views]
Giugno 05, 2020 · 2 min di lettura
Regola della settimana: Esecuzione di comandi su Azure VM

Nella Sezione della Settimana presentiamo la Esecuzione Comandi su Azure VM (via azureactivity) regola del Team di SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#

  Gli avversari possono abusare delle funzionalità di Azure VM per stabilire un punto d’appoggio in un ambiente, che potrebbe essere utilizzato per mantenere l’accesso e scalare i privilegi. Possono sfruttare la funzione Run Command che utilizza l’agente della macchina virtuale (VM) per eseguire script PowerShell all’interno di un Azure Windows VM. Lo sfruttamento di questa funzione consente di eseguire comandi anche quando la VM non è raggiungibile (ad esempio, se le porte RDP o SSH sono chiuse) tramite il Portale Azure, l’API REST, l’Azure CLI o PowerShell.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness,

EDR: Elastic Endpoint

 

MITRE ATT&CK:

Tattiche: Accesso Iniziale, Esecuzione, Persistenza, Escalation dei Privilegi, Evasione della Difesa

Tecniche: Interfaccia a Riga di Comando (T1059), Accesso Ridondante (T1108), Account Validi (T1078)

 

La regola di Esecuzione Comandi su Azure VM (via azureactivity) copre tre tecniche MITRE ATT&CK.Per eseguire con successo questo attacco sull’infrastruttura Azure ed eseguire comandi, gli hacker necessitano dell’accesso a un account di dominio. Vogliamo offrire un elenco di contenuti disponibili su Threat Detection Marketplace che ti aiuteranno a scoprire tentativi di sottrarre credenziali.

Raccolta di Credenziali dal Gestore delle Credenziali di Windows (via cmdline): https://tdm.socprime.com/tdm/info/41LYkTLe4g4a/iSGyYHIBjwDfaYjKFbEf/

Pacchetto Regole Monitoraggio Sicurezza VPN: https://my.socprime.com/en/integrations/vpn-security-monitor

Pacchetto Regole Monitoraggio Sicurezza per la piattaforma SaaS di Office365: https://my.socprime.com/en/integrations/security-monitoring-for-office365-saas-platform-ala

Pacchetto Regole Sicurezza delle Password: https://my.socprime.com/en/integrations/password-security-sentinel

Pacchetto Regole Rilevamento Forza Bruta: https://my.socprime.com/en/integrations/brute-force-detection

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Regola della Settimana: Abuso dell’Aggiornamento di Microsoft Teams
Blog, Ultime Minacce — 2 min di lettura
Regola della Settimana: Abuso dell’Aggiornamento di Microsoft Teams
Eugene Tkachenko
Regola della Settimana: Rilevamento di Ransomware VHD
Blog, Ultime Minacce — 2 min di lettura
Regola della Settimana: Rilevamento di Ransomware VHD
Eugene Tkachenko
CVE-2020-3452: Lettura di file non autenticata in Cisco ASA e rilevamento Cisco Firepower
Blog, Ultime Minacce — 3 min di lettura
CVE-2020-3452: Lettura di file non autenticata in Cisco ASA e rilevamento Cisco Firepower
Eugene Tkachenko