T1092: Взаимодействие через съемные носители
Злоумышленники могут управлять скомпрометированными узлами изолированных сетей, используя съемные носители для передачи команд между системами. Такая передача команд возможна только между скомпрометированными системами, причем, как правило, изначально происходит компрометация системы, подключенной к интернету, а компрометация второй системы осуществляется при перемещении злоумышленников внутри периметра путем распространения через съемные носители. Команды и файлы передаются от изолированной системы к подключенной, к которой злоумышленник имеет прямой доступ.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1750: Process_From_Mounted_Disk: Запуск процесса со смонтированного диска hacking_tools: PT-CR-1857: USB_Rubber_Ducky: Возможная активность USB RubberDucky
Способы обнаружения
ID | DS0016 | Источник и компонент данных | Накопитель: Создание накопителя | Описание | Отслеживайте запуск новых процессов при монтировании съемных носителей. |
---|
ID | DS0016 | Источник и компонент данных | Накопитель: Доступ к накопителю | Описание | Отслеживайте нетипичные попытки доступа к файлам, хранящимся на съемных носителях. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Отключите автозапуск, если в нем нет необходимости. |
---|
ID | M1028 | Название | Изменение конфигурации ОС | Описание | Запретите или ограничьте использование съемных носителей на уровне организационной политики, если они не требуются для выполнения бизнес-операций. |
---|