Regola della settimana: Esecuzione di comandi su Azure VM

Ultime Minacce

Giugno 05, 2020

2 min di lettura

Regola della settimana: Esecuzione di comandi su Azure VM

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Nella Sezione della Settimana presentiamo la Esecuzione Comandi su Azure VM (via azureactivity) regola del Team di SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#

  Gli avversari possono abusare delle funzionalità di Azure VM per stabilire un punto d’appoggio in un ambiente, che potrebbe essere utilizzato per mantenere l’accesso e scalare i privilegi. Possono sfruttare la funzione Run Command che utilizza l’agente della macchina virtuale (VM) per eseguire script PowerShell all’interno di un Azure Windows VM. Lo sfruttamento di questa funzione consente di eseguire comandi anche quando la VM non è raggiungibile (ad esempio, se le porte RDP o SSH sono chiuse) tramite il Portale Azure, l’API REST, l’Azure CLI o PowerShell.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness,

EDR: Elastic Endpoint

 

MITRE ATT&CK:

Tattiche: Accesso Iniziale, Esecuzione, Persistenza, Escalation dei Privilegi, Evasione della Difesa

Tecniche: Interfaccia a Riga di Comando (T1059), Accesso Ridondante (T1108), Account Validi (T1078)

 

La regola di Esecuzione Comandi su Azure VM (via azureactivity) copre tre tecniche MITRE ATT&CK.Per eseguire con successo questo attacco sull’infrastruttura Azure ed eseguire comandi, gli hacker necessitano dell’accesso a un account di dominio. Vogliamo offrire un elenco di contenuti disponibili su Threat Detection Marketplace che ti aiuteranno a scoprire tentativi di sottrarre credenziali.

Raccolta di Credenziali dal Gestore delle Credenziali di Windows (via cmdline): https://tdm.socprime.com/tdm/info/41LYkTLe4g4a/iSGyYHIBjwDfaYjKFbEf/

Pacchetto Regole Monitoraggio Sicurezza VPN: https://my.socprime.com/en/integrations/vpn-security-monitor

Pacchetto Regole Monitoraggio Sicurezza per la piattaforma SaaS di Office365: https://my.socprime.com/en/integrations/security-monitoring-for-office365-saas-platform-ala

Pacchetto Regole Sicurezza delle Password: https://my.socprime.com/en/integrations/password-security-sentinel

Pacchetto Regole Rilevamento Forza Bruta: https://my.socprime.com/en/integrations/brute-force-detection

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko