检测
分析
远程服务:Windows远程管理
描述
对手可能使用有效账户与远程系统使用Windows远程管理(WinRM)。敌人可能会作为登录用户执行操作。WinRM的名字是Windows服务和协议,它允许用户与远程系统交互(例如,运行一个可执行文件,修改注册表,修改服务)。它可能被称为winrm命令或任何数量的PowerShell等项目。WinRM可以用作远程与Windows管理规范交互的方法。
产品、传感器和依赖关系
| 产品 | 依赖关系 | 数据源 | 访问所需的 | 协议 | 收集的数据 | 笔记 |
|---|---|---|---|---|---|---|
| Tenable.io | 先进的网络扫描 | Windows机器 | 验证扫描 | SMB | Windows服务 | 插件ID: 44401 |
| Tenable.io | 先进的网络扫描 | Windows机器 | 验证扫描 | WMI | 本地用户、组和组成员关系 | 插件ID: 71246 |
| Tenable.io | 先进的网络扫描 | Windows机器 | 验证扫描 | 操作系统命令 | 电脑连接 | 插件ID: 64582 |
| Tenable.io | 广告起动器或身份扫描 | 活动目录 | 标准广告用户 | LDAP | 域用户和组 |
引用
攻击路径技术细节
框架:主教法冠ATT&CK
家庭:横向运动
技术:远程服务
Sub-Technique:Windows远程管理
平台:窗户
产品要求:Tenable.io
站得住脚的发布日期:2022年第三季度