یک سرویس Remote Exploit یا اکسپلویت اجرا شده از راه دور تکنیکی است که به عوامل مخرب اجازه می دهد با استفاده از یک آسیب پذیری (مانند یک خطای برنامه نویسی) یا یک حساب معتبر، به سیستم های داخلی شبکه دسترسی غیرمجاز پیدا کند. هنگامی که یک کانکشن ریموت با هدف Lateral Movement یا حرکت جانبی به آن سیستم ایجاد می شود، مهاجم ممکن است کد کنترل شده توسط عامل مخرب را اجرا کند.

برای شناسایی سیستم‌های آسیب‌پذیر، مهاجمان معمولاً از یک یا چند تکنیک اکتشاف آسیب پذیری ، مانند اسکن سرویس شبکه برای جستجوی نرم‌افزارها با پچ های قدیمی ، استفاده می‌کنند.

باج افزارها و بدافزارهای رایج مانند Ryuk، WannaCry و NotPeya حاوی ویژگی هایی هستند که از اکسپلویت های شناخته شده برای اجرای کد در شبکه استفاده می کنند که در نهایت منجر به Lateral Movement و propagationمی شود.

پروتکل ریموت دسکتاپ (RDP) یک هدف رایج برای سرویسهای ریموت است و به راحتی می توان دریافت که چرا در محیط های سازمانی رایج است. زیرا پروتکل RDP دسترسی ریموت به یک دستگاه ویندوزی را فراهم  و اعتبارنامه های هک شده را در حافظه به جا می گذارد.

معمولا ، عامل تهدید نیاز دارد وضعیت آسیب‌پذیری سیستم ریموت را بداند. بنابراین می تواند از طریق Network Service Discovery یا سایر روش‌های اکتشاف ، نرم‌افزار آسیب‌پذیری که ممکن است در شبکه مستقر شده باشد را بیابد. اغلب فقدان پچ های خاصی می تواند نشانه خوبی برای پیدا کردن نرم افزار مورد نظر باشد.

سرورها احتمالاً یک هدف با ارزش برای اکسپلویت Lateral Movement هستند، اما سیستم های نقطه پایانی نیز در صورت ایجاد مزیت یا دسترسی به منابع اضافی می توانند در معرض خطر قرار گیرند.

بسته به سطح مجوزهای سرویس راه دور آسیب‌پذیر، دشمن ممکن است به بهره‌برداری برای افزایش امتیاز در نتیجه بهره‌برداری از حرکت جانبی نیز دست یابد.

برای پیشگیری از اکسپلویت های پرهزینه، اولین خط دفاعی سازمانها باید ایمن سازی نقاط دسترسی آسیب پذیر باشد. ایمن سازی دسترسی ها را با به‌روزرسانی منظم نرم‌افزارها شروع کنید و برنامه‌های وب بلااستفاده را غیرفعال و حذف کنید. ایزوله کردن برنامه، سندباکسینگ و network segmentation می تواند از حرکت جانبی جلوگیری کند و دسترسی های غیرمجاز را به سیستم ها و خدمات خاص کاهش دهد.

پروتکل های ریموت دسترسی مانند RDP باید در صورت امکان غیرفعال شوند. اقداماتی وجود دارد که سازمان‌ها می‌توانند برای کاهش ریسک انجام دهند، مانند پیاده‌سازی و بازبینی منظم روش‌های احراز هویت و اعمال سیاست‌هایی برای ایجاد اعتبار امن و احراز هویت چندعاملی.

• فورتی سندباکس چیست؟
• مدیریت هویت و دسترسی (IAM) چیست؟
• کنترل دسترسی به شبکه (NAC) چیست؟

تیم‌های امنیتی پیشرفته همچنین باید از یک رویکرد فعال مانند برنامه هوش تهدید برای شناسایی کانکشنهای خارجی به دامنه‌ها یا نقاط پایانی مشکوک و کاهش هرگونه اتصال از راه دور مخرب به سازمان استفاده کنند. ابزارهای تشخیص همچنین می‌توانند در جستجوی رخنه‌هایی که بر نقاط پایانی و شبکه تأثیر می‌گذارند مفید باشند. ترکیبی از تشخیص و پاسخ شبکه (NDR) و تشخیص و پاسخ نقطه پایانی (EDR) می‌تواند برای شناسایی نشتها و حرکات جانبی در یک شبکه استفاده شود.

شناسایی حملات اکسپلویت از راه دور را می توان با استفاده از رمزگشایی افزایش داد. اکسپلویت سرویس از راه دور می تواند در طیف گسترده ای از سرویس ها، چه داخلی و چه عمومی و بر روی انواع پروتکل ها مانند HTTP، MS-RPC، SMBv3 و موارد دیگر رخ دهد. به همین دلیل، بسیار مهم است که ابزارهای امنیتی دارای قابلیت رمزگشایی برای همه پروتکل های صنعتی رمزگذاری شده معمول مانند پروتکل های TLS و مایکروسافت مانند Kerberos، MS-RPC، SMBv3 و غیره باشند.