软件部署工具

对手可能会访问并使用企业内安装的集中软件套件来执行命令并在网络中横向移动。配置管理和软件部署应用程序可能用于企业网络或云环境中的常规管理目的。这些系统也可能集成到 CI/CD 管道中。此类解决方案的示例包括：SCCM、HBSS、Altiris、AWS 系统管理器、Microsoft Intune、Azure Arc 和 GCP 部署管理器。 访问网络范围或企业范围的端点管理软件可能使对手能够在所有连接的系统上实现远程代码执行。访问可能用于横向移动到其他系统、收集信息或造成特定影响，例如擦除所有端点上的硬盘。 基于 SaaS 的配置管理服务可能允许对云托管实例进行广泛的 云管理命令，以及在本地端点上执行任意命令。例如，Microsoft 配置管理器允许全局或 Intune 管理员以 SYSTEM 身份在加入 Entra ID 的本地设备上运行脚本。(引用: SpecterOps Lateral Movement from Azure to On-Prem AD 2020) 此类服务还可能利用 Web 协议 与对手拥有的基础设施通信。(引用: Mitiga Security Advisory: SSM Agent as Remote Access Trojan) 网络基础设施设备也可能具有配置管理工具，对手可以类似地滥用这些工具。(引用: Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation) 此操作所需的权限因系统配置而异；本地凭据可能足以直接访问第三方系统，或者可能需要特定的域凭据。然而，系统可能需要管理员账户才能登录或访问特定功能。