T1133-外部远程服务

来自ATT&CK的描述

攻击者可能会利用面向外部的远程服务来实现最初访问或网络内持久化。VPN，Citrix和其他访问机制等远程服务使用户可以从外部位置连接到内部企业网络资源。通常有远程服务网关管理这些服务的连接和凭据身份验证。Windows Remote Management等服务也可以在外部使用。

通常需要有效帐户才能使用该服务，这可以通过凭据篡改或在攻陷企业网络之后从用户那里获取凭据来获得。（引自：Volexity Virtual Private Keylogging） 在攻击者的操作过程中，对远程服务的访问可用作冗余或持久访问机制。

测试案例

按照MITRE官方示例，像VPN、远程桌面、SSH等都可以属于T1133外部远程访问。

检测日志

SSH日志、VPN日志、远程桌面登录日志

测试复现

暂无

测试留痕

暂无

检测规则/思路

遵循最佳实践来检测攻击者对有效帐户的使用，以对远程服务进行身份验证。收集身份验证日志并分析异常访问模式，活动窗口以及正常工作时间之外的访问。

通过VPN进行远程访问攻击，网上有很多案例，不在一一描述。可利用用户账户登录地点、登录时间作为检测条件。远程桌面、SSH也可根据登录地点、登录时间作为检测条件。

相关TIP

[[T1133-001-深信服VPN任意密码重置]]

参考推荐

MITRE-ATT&CK-T1133

https://attack.mitre.org/techniques/T1133/