外部远程服务

对手可能会利用外部远程服务来初始访问和/或在网络中保持持久性。远程服务如 VPN、Citrix 和其他访问机制允许用户从外部位置连接到内部企业网络资源。通常有远程服务网关来管理这些服务的连接和凭据认证。服务如 Windows Remote Management 和 VNC 也可以外部使用。(引用: MacOS VNC software for Remote Desktop) 使用服务的 Valid Accounts 通常是一个要求，这些凭据可以通过凭据钓鱼或在入侵企业网络后从用户那里获取。(引用: Volexity Virtual Private Keylogging) 访问远程服务可以作为操作期间的冗余或持久访问机制。 也可以通过不需要认证的暴露服务获得访问。在容器化环境中，这可能包括暴露的 Docker API、Kubernetes API 服务器、kubelet 或 Web 应用程序如 Kubernetes 仪表板。(引用: Trend Micro Exposed Docker Server)(引用: Unit 42 Hildegard Malware)