Конспект ИБ | Протоколы | RPC, WinRM
RPC
Порт 135/TCP Используется службой для установки соединения между клиентом и сервером и определения нужного порта для дальнейшей связи.
Порт 111/TCP,UDP Стандартный порт для RPC в системах на базе Unix/Linux.
Порты 49152–65535/TCP для динамического назначения службам.
Remote Procedure Call или «удаленный вызов процедур» представляет собой технологию межпроцессного взаимодействия. Она позволяет программам вызывать функции и процедуры удаленно таким образом, как‑будто они представлены локально.
Службы RPC используются во множестве процессов в операционных системах Windows. Например, с их помощью можно удалённо изменять значения в реестре, создавать новые задачи и сервисы. На вызовах RPC построена значимая часть работы Active Directory: функции аутентификации в домене, репликация данных и многие другие вещи — список грандиозно большой.
В виду того, что RPC используется в Windows практически во всех процессах, по понятным причинам она является предметом особого интереса для атакующих. В тоже время RPC фигурирует в большом количестве популярных и опасных атак. К ним относится PetitPotam, с чьей помощью можно заставить контроллер домена инициировать процесс аутентификации на сервере, который находится под контролем злоумышленника, и поделиться с ним значением NTLM-хэша и произвести Relay на машинный аккаунт контроллера домена. Еще одна атака — DCSync, позволяющая скомпрометировать всех пользователей в домене при наличии учетной записи с высокими привилегиями. Кроме того, в арсенале атакующих есть еще и фреймворк Impacket, который может задействовать RPC для отправки вредоносных команд на удаленный сервер.
WinRM
Порт: 5985/TCP для HTTP
Порт: 5986/TCP для HTTPS
WinRM — это название как службы, так и протокола Windows, разработанного прежде всего для IT-специалистов. Она используется для удаленного управления, администрирования и мониторинга систем.
Атаки (актуальны для любого удалённого подключения):
Выполнение любых команд на удаленной системе
Кража учетных данных
Горизонтальное перемещение (если на других машинах в сети включен WinRM и есть доступные учетные данные, злоумышленник может перейти на них)
Установка постоянного доступа (персистентности)
Создание скрытых задач через.
Установка бэкдоров, шеллов.
Остановка антивирусов, фаерволов
Поиск и выгрузка файлов
Шифрование файлов