远程服务

对手可能会使用有效账户登录接受远程连接的服务，例如telnet、SSH和VNC。然后，对手可能会以登录用户的身份执行操作。 在企业环境中，服务器和工作站可以组织成域。域提供集中身份管理，允许用户使用一组凭据登录整个网络。如果对手能够获得一组有效的域凭据，他们可以使用远程访问协议（如安全外壳（SSH）或远程桌面协议（RDP））登录到许多不同的机器。(引用: SSH Secure Shell)(引用: TechNet Remote Desktop Services) 他们还可以登录到可访问的SaaS或IaaS服务，例如那些将其身份联合到域的服务。 合法应用程序（如软件部署工具和其他管理程序）可能会利用远程服务访问远程主机。例如，macOS上的Apple Remote Desktop（ARD）是用于远程管理的本机软件。ARD利用混合协议，包括VNC发送屏幕和控制缓冲区，以及SSH进行安全文件传输。(引用: Remote Management MDM macOS)(引用: Kickstart Apple Remote Desktop commands)(引用: Apple Remote Desktop Admin Guide 3.3) 对手可以滥用ARD等应用程序以获得远程代码执行并进行横向移动。在macOS 10.14之前的版本中，对手可以将SSH会话升级为ARD会话，从而使对手能够在无需用户交互的情况下接受TCC（透明度、同意和控制）提示并访问数据。(引用: FireEye 2019 Apple Remote Desktop)(引用: Lockboxx ARD 2019)(引用: Kickstart Apple Remote Desktop commands)