Удалённые службы

Злоумышленники могут использовать удалённые службы для перемещения между активами и сегментами сети. Эти службы зачастую применяются для обеспечения удалённого взаимодействия операторов с системами в пределах сети; примерами таких служб являются RDP, SMB, SSH и аналогичные механизмы. Удалённые службы могут использоваться для поддержки удалённого доступа, передачи данных, аутентификации, разрешения имён и других удалённых функций. Кроме того, они могут быть необходимы для того, чтобы операторы и администраторы могли настраивать системы в сети со своих инженерных или административных рабочих станций. Злоумышленник может использовать данную технику для доступа к устройствам, подключённым к нескольким сегментам сети, а также для Загрузки программ или непосредственного выполнения атак на управляющие устройства через Действительные учётные записи. Определённые удалённые службы (RDP и VNC) могут служить предварительным условием для выполнения через Графический пользовательский интерфейс на таких устройствах, как АРМ оператора или инженерное программное обеспечение рабочей станции. На основе данных об инцидентах CISA и ФБР установили, что китайские субъекты угроз, действующие при поддержке государства, также компрометировали различные авторизованные каналы удалённого доступа, включая системы, предназначенные для передачи данных и/или предоставления доступа между корпоративными ИТ-сетями и сетями АСУ ТП.