T1021.005: VNC

Злоумышленники могут использовать существующие учетные записи для удаленного управления компьютерами с помощью Virtual Network Computing (VNC). VNC — это платформонезависимая система совместного использования рабочего стола, работающая по протоколу RFB (remote framebuffer), которая позволяет управлять удаленным компьютером, включая передачу содержимого его экрана и контроль клавиатуры и мыши.

Система VNC отличается от протокола удаленного рабочего стола тем, что предназначена для совместного использования экрана, а не ресурсов. По умолчанию VNC использует общую аутентификацию с системой, однако ее можно настроить на использование отдельных учетных данных.

Злоумышленники могут использовать VNC для выполнения вредоносных действий от имени вошедшего в систему пользователя — например, для открытия документов, загрузки файлов и выполнения произвольных команд. Злоумышленники могут использовать VNC для удаленного контроля и мониторинга системы и собирать данные, позволяющие перемещаться в другие системы в сети. Некоторые библиотеки и реализации VNC также уязвимы к атакам методом перебора паролей и атакам с некорректным использованием памяти.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

remote_work: PT-CR-2318: Remote_Administration_Tools_Usage: Использована утилита, предназначенная для удаленного администрирования remote_work: PT-CR-1839: VNC_Connection: Подключение через VNC

Способы обнаружения

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте пользовательские учетные записи, вошедшие в системы, чтобы предотвратить использование существующих учетных записей злоумышленниками для удаленного управления компьютерами с помощью Virtual Network Computing (VNC). Например, в системах macOS команда log show --predicate 'process = "screensharingd" and eventMessage contains "Authentication:"' может использоваться для анализа входящих запросов на VNC-подключение на предмет подозрительной активности.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, в которых могут использоваться существующие учетные записи для удаленного управления компьютерами с помощью Virtual Network Computing (VNC). Например, в системах macOS процесс screensharingd может указывать на установление VNC-подключения.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений, в которых могут использоваться существующие учетные записи для удаленного управления компьютерами с помощью Virtual Network Computing (VNC). Использование VNC может быть легитимным в зависимости от особенностей среды. На подозрительное или вредоносное поведение, связанное с VNC, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Удалите программное обеспечение VNC-сервера, если оно не требуется.

IDM1037НазваниеФильтрация сетевого трафикаОписание

По умолчанию VNC использует TCP-порты 5900 для сервера, 5800 для доступа через браузер и 5500 для программы просмотра в режиме прослушивания. Фильтрация или блокировка этих портов будет препятствовать трафику VNC, использующему порты по умолчанию.

IDM1047НазваниеАудитОписание

Проведите инвентаризацию рабочих станций на предмет наличия несанкционированного программного обеспечения VNC-сервера.

IDM1033НазваниеОграничение установки программного обеспеченияОписание

Ограничьте установку программного обеспечения группами пользователей, которым это необходимо. VNC-сервер должен быть установлен пользователем или злоумышленником вручную.