VPN、Citrixのようなリモートサービスにより、ユーザーは外部から企業の内部ネットワークリソースに接続できます。多くの場合、これらのサービスの接続と資格情報認証を管理するリモートサービスゲートウェイがあります。 Windows Remote Managementなどのサービスも外部から使用できます。
攻撃者はリモートサービスを使用して、最初にアクセスしたり、ネットワーク内にとどまったりする可能性があります。 [1] サービスを使用するために正当なアカウントへのアクセスが必要になることがよくあります。これは、クレデンシャルファーミングを通じて、または企業ネットワークに侵入した後にユーザーから資格情報を搾取することによって取得できます。 リモートサービスへのアクセスは、攻撃中にアクセスの冗長化の一部として使用される可能性があります。
Name | Description |
---|---|
APT18 | |
APT41 |
APT41 は、サードパーティのサービスプロバイダーと対象となる支払いサービスとの間のVPNアクセスを使用して、オンラインの請求/支払いサービスを侵害しました。[15] |
Dragonfly 2.0 |
Dragonfly 2.0 は、VPNとOutlook Web Access(OWA)を使用して、被害者のネットワークへのアクセスを維持していました。[7][8] |
FIN5 |
FIN5 has used legitimate VPN, Citrix, or VNC credentials to maintain access to a victim environment.[9][10][11] |
Ke3chang |
Ke3chang regained access after eviction via the corporate VPN solution with a stolen VPN certificate, which they had extracted from a compromised host.[6] |
Linux Rabbit |
Linux Rabbit attempts to gain access to the server via SSH.[2] |
Night Dragon |
Night Dragon has used compromised VPN accounts to gain access to victim systems.[12] |
OilRig |
OilRig uses remote services such as VPN, Citrix, or OWA to persist in an environment.[4] |
Soft Cell |
Soft Cell established VPN access into victim environments.[14] |
TEMP.Veles |
TEMP.Veles has used a VPN to persist in the victim environment.[13] |
Threat Group-3390 |
Threat Group-3390 は、攻撃中にVPNプロファイルを探して使用し、外部VPNサービスを使用してネットワークにアクセスします。[5] |
Mitigation | Description |
---|---|
Disable or Remove Feature or Program 機能やプログラムの無効化および削除 |
リモートで利用可能な不要なサービスを無効にするかブロックします。 |
Limit Access to Resource Over Network ネットワーク上のリソースへのアクセスを制限 |
VPNなどの集中管理されたコンセントレータやその他の管理されたリモートアクセスシステムを介するリモートサービスへのアクセスを制限します。 |
Multi-factor Authentication 多要素認証 |
盗まれた資格情報を悪用する攻撃者の能力を低減させるため、リモートサービスアカウントに強力な二要素認証または多要素認証を使用してください、ただし一部の二要素認証の実装では二要素認証妨害のテクニックに注意してください。 |
Network Segmentation ネットワークの分離 |
ネットワークプロキシ、ゲートウェイ、ファイアウォールを通しての、内部システムへの直接リモートアクセスを拒否します。 |
リモートサービスへの認証に、正当なアカウントの悪用を検出するためのベストプラクティスに従います。認証ログを収集し、異常なアクセスパターン、活動範囲、および通常の営業時間外のアクセスを分析します。