T1092: Взаимодействие через съемные носители

Злоумышленники могут управлять скомпрометированными узлами изолированных сетей, используя съемные носители для передачи команд между системами. Такая передача команд возможна только между скомпрометированными системами, причем, как правило, изначально происходит компрометация системы, подключенной к интернету, а компрометация второй системы осуществляется при перемещении злоумышленников внутри периметра путем распространения через съемные носители. Команды и файлы передаются от изолированной системы к подключенной, к которой злоумышленник имеет прямой доступ.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1750: Process_From_Mounted_Disk: Запуск процесса со смонтированного диска hacking_tools: PT-CR-1857: USB_Rubber_Ducky: Возможная активность USB RubberDucky

Способы обнаружения

IDDS0016Источник и компонент данныхНакопитель: Создание накопителяОписание

Отслеживайте запуск новых процессов при монтировании съемных носителей.

IDDS0016Источник и компонент данныхНакопитель: Доступ к накопителюОписание

Отслеживайте нетипичные попытки доступа к файлам, хранящимся на съемных носителях.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Отключите автозапуск, если в нем нет необходимости.

IDM1028НазваниеИзменение конфигурации ОСОписание

Запретите или ограничьте использование съемных носителей на уровне организационной политики, если они не требуются для выполнения бизнес-операций.