Regra da Semana: Execução de Comandos em VM do Azure

[post-views]
Junho 05, 2020 · 2 min de leitura
Regra da Semana: Execução de Comandos em VM do Azure

Na Regra da Semana seção, apresentamos a você a Execução de Comando em VM Azure (via azureactivity) regra pela Equipe SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#

  Adversários podem usar indevidamente a funcionalidade da VM Azure para estabelecer uma presença em um ambiente, o que pode ser usado para manter acesso e escalar privilégios. Eles podem explorar a funcionalidade Run Command que utiliza o agente da máquina virtual (VM) para executar scripts PowerShell dentro de uma VM do Windows Azure. A exploração desse recurso permite executar comandos mesmo quando a VM está inacessível (por exemplo, se as portas RDP ou SSH estiverem fechadas) através do Azure Portal, REST API, Azure CLI ou PowerShell.

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness,

EDR: Elastic Endpoint

 

MITRE ATT&CK:

Táticas: Acesso Inicial, Execução, Persistência, Escalação de Privilégios, Evasão de Defesa

Técnicas: Interface de Linha de Comando (T1059), Acesso Redundante (T1108), Contas Válidas (T1078)

 

A regra de Execução de Comando em VM Azure (via azureactivity) cobre três técnicas do MITRE ATT&CK.Para realizar com sucesso este ataque na infraestrutura Azure e executar comandos, os hackers precisam de acesso a uma conta de domínio. Queremos oferecer uma lista de conteúdos disponíveis no Threat Detection Marketplace que ajudarão você a descobrir tentativas de roubo de credenciais.

Colhendo Credenciais do Gerenciador de Credenciais do Windows (via cmdline): https://tdm.socprime.com/tdm/info/41LYkTLe4g4a/iSGyYHIBjwDfaYjKFbEf/

Pacote de Regras de Monitoramento de Segurança de VPN: https://my.socprime.com/en/integrations/vpn-security-monitor

Pacote de Regras de Monitoramento de Segurança para Plataforma SaaS do Office365: https://my.socprime.com/en/integrations/security-monitoring-for-office365-saas-platform-ala

Pacote de Regras de Segurança de Senhas: https://my.socprime.com/en/integrations/password-security-sentinel

Pacote de Regras de Detecção de Força Bruta: https://my.socprime.com/en/integrations/brute-force-detection

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Regra da Semana: Abuso do Atualizador do Microsoft Teams
Ameaças Mais Recentes, Blog — 2 min de leitura
Regra da Semana: Abuso do Atualizador do Microsoft Teams
Eugene Tkachenko
Regra da Semana: Detecção de Ransomware VHD
Ameaças Mais Recentes, Blog — 2 min de leitura
Regra da Semana: Detecção de Ransomware VHD
Eugene Tkachenko
CVE-2020-3452: Leitura de Arquivo Não Autenticada em Cisco ASA e Detecção de Cisco Firepower
Ameaças Mais Recentes, Blog — 3 min de leitura
CVE-2020-3452: Leitura de Arquivo Não Autenticada em Cisco ASA e Detecção de Cisco Firepower
Eugene Tkachenko