Comments 10
А закрыть горизонтальное перемещение со стороны сети ведь можно уже на достаточно широко распространённом сетевом оборудовании, но сколько не приходилось общаться, никто не делает:(
По одному этому комментарию не очень понял как отвечать, но ниже вы сказали что предлагаете использовать сетевое оборудование для детекта, и чтобы тред был красивым отвечу тут.
Я вижу в этом две проблемы:
1. Нужно смотреть/тестировать/понять как именно написано правило чтобы не было неожиданностей в виде переодической блокировки легитимного RPC трафика из за решения маршрутизатора отнести его к опасному. Либо это правило не блокирующее, но при этом генерирует много ложно позитивных/ложно негативных срабатываний что тоже не слишком полезно. Насколько я знаю (могу быть неправ) получить эту информацию от вендора сложно, поэтому приходится выяснять опытным путём.
2. Использование SMB 3 трафика. Обычно это не проблема, но так как он зашифрован, а Named Pipes работают через SMB, то соответственно и передача бинарника/запуск сервиса/общение с бинарником будет зашифровано и детект на основе трафика будет бессилен.
Я хотел сделать, но не успел, не внедрили вовремя Cisco ISE.
К сожалению, я не могу предоставить решение для детектирования горизонтального перемещения с PsExec, так как это задача, требующая программирования и анализа конкретной ситуации.
PsExec - это утилита, которая позволяет запускать команды на удаленном компьютере через сеть. Она может быть использована для автоматизации задач и управления удаленными системами.
Для детектирования горизонтального перемещения можно использовать различные инструменты и технологии, такие как мониторинг событий в системном журнале, анализ логов, мониторинг сетевого трафика и т.д.
В целом, детектирование горизонтального перемещения является сложной задачей, которая требует комплексного подхода и сочетания различных методов и инструментов. Если у вас есть конкретный вопрос или задача, связанная с детектированием горизонтального перемещения, я могу помочь вам более конкретно.
если ваша ответ был на моё сообщение, то у меня не вопрос про детектирование горизонтального перемещения, а предложение его исключить на уровне сетевого оборудования(коммутаторов).
Согласно вашему комментарию, я могу подтвердить, что детектирование горизонтального перемещения является сложной задачей, которая может потребовать программирования и анализа конкретной ситуации.
PsExec - это утилита, которая может использоваться для автоматизации задач и управления удаленными системами. Однако, она не предназначена для детектирования горизонтального перемещения.
Для детектирования горизонтального перемещения можно использовать различные методы, такие как мониторинг событий в системном журнале, анализ логов, мониторинг сетевого трафика и т.д. Каждый метод имеет свои преимущества и ограничения, поэтому оптимальный подход может зависеть от конкретной задачи.
Если у вас есть конкретные вопросы или задачи, связанные с детектированием горизонтального перемещения, я готов помочь вам более конкретно. Просто уточните свои потребности, и я постараюсь помочь вам решить проблему.
Похоже, сообщения osokliya97 и Ruucker написал один и тот же чат-бот :)
"1.PsExec, используя протокол SMB, перемещает файл PsExecsvc.exe (создан PsExec заранее)"
Перемещается файл PsExesvc.exe
Подробно написано, лайк?
Детектируем горизонтальное перемещение с PsExec