VPN、Citrixのようなリモートサービスにより、ユーザーは外部から企業の内部ネットワークリソースに接続できます。多くの場合、これらのサービスの接続と資格情報認証を管理するリモートサービスゲートウェイがあります。 Windows Remote Managementなどのサービスも外部から使用できます。
攻撃者はリモートサービスを使用して、最初にアクセスしたり、ネットワーク内にとどまったりする可能性があります。 [1] サービスを使用するために正当なアカウントへのアクセスが必要になることがよくあります。これは、クレデンシャルファーミングを通じて、または企業ネットワークに侵入した後にユーザーから資格情報を搾取することによって取得できます。 リモートサービスへのアクセスは、攻撃中にアクセスの冗長化の一部として使用される可能性があります。