T1021.005: VNC
Злоумышленники могут использовать существующие учетные записи для удаленного управления компьютерами с помощью Virtual Network Computing (VNC). VNC — это платформонезависимая система совместного использования рабочего стола, работающая по протоколу RFB (remote framebuffer), которая позволяет управлять удаленным компьютером, включая передачу содержимого его экрана и контроль клавиатуры и мыши.
Система VNC отличается от протокола удаленного рабочего стола тем, что предназначена для совместного использования экрана, а не ресурсов. По умолчанию VNC использует общую аутентификацию с системой, однако ее можно настроить на использование отдельных учетных данных.
Злоумышленники могут использовать VNC для выполнения вредоносных действий от имени вошедшего в систему пользователя — например, для открытия документов, загрузки файлов и выполнения произвольных команд. Злоумышленники могут использовать VNC для удаленного контроля и мониторинга системы и собирать данные, позволяющие перемещаться в другие системы в сети. Некоторые библиотеки и реализации VNC также уязвимы к атакам методом перебора паролей и атакам с некорректным использованием памяти.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
remote_work: PT-CR-2318: Remote_Administration_Tools_Usage: Использована утилита, предназначенная для удаленного администрирования remote_work: PT-CR-1839: VNC_Connection: Подключение через VNC
Способы обнаружения
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте пользовательские учетные записи, вошедшие в системы, чтобы предотвратить использование существующих учетных записей злоумышленниками для удаленного управления компьютерами с помощью Virtual Network Computing (VNC). Например, в системах macOS команда |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, в которых могут использоваться существующие учетные записи для удаленного управления компьютерами с помощью Virtual Network Computing (VNC). Например, в системах macOS процесс |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений, в которых могут использоваться существующие учетные записи для удаленного управления компьютерами с помощью Virtual Network Computing (VNC). Использование VNC может быть легитимным в зависимости от особенностей среды. На подозрительное или вредоносное поведение, связанное с VNC, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Удалите программное обеспечение VNC-сервера, если оно не требуется. |
---|
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | По умолчанию VNC использует TCP-порты 5900 для сервера, 5800 для доступа через браузер и 5500 для программы просмотра в режиме прослушивания. Фильтрация или блокировка этих портов будет препятствовать трафику VNC, использующему порты по умолчанию. |
---|
ID | M1047 | Название | Аудит | Описание | Проведите инвентаризацию рабочих станций на предмет наличия несанкционированного программного обеспечения VNC-сервера. |
---|
ID | M1033 | Название | Ограничение установки программного обеспечения | Описание | Ограничьте установку программного обеспечения группами пользователей, которым это необходимо. VNC-сервер должен быть установлен пользователем или злоумышленником вручную. |
---|