T1200: Подключение дополнительных устройств
Злоумышленники могут добавить в систему или сеть периферийные устройства, сетевое оборудование или другие вычислительные устройства и использовать их для получения несанкционированного доступа. Вместо подключения съемных носителей и распространения полезной нагрузки через них (техника Распространение через съемные носители) злоумышленники могут использовать более надежные дополнительные устройства, чтобы добавлять в систему и в дальнейшем эксплуатировать новые функции и (или) возможности.
Хотя в общедоступных источниках использование таких приемов злоумышленниками упоминается редко, многие специалисты по тестированию на проникновение используют подключение дополнительных устройств для первоначального доступа. Для этого могут использоваться решения с открытым исходным кодом и коммерческие продукты, обладающие такими возможностями, как пассивное прослушивание сети, модификация сетевого трафика (например, посредством техники "Злоумышленник посередине"), имитация нажатий клавиш, чтение памяти ядра через DMA и добавление новой точки беспроводного доступа к существующей сети.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-1750: Process_from_Mounted_Disk: Запуск процесса со смонтированного диска
hacking_tools: PT-CR-1857: USB_Rubber_Ducky: Возможная активность USB RubberDucky
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP. |
---|
ID | DS0016 | Источник и компонент данных | Накопитель: Создание накопителя | Описание | Отслеживайте появление новых накопителей и другие сопутствующие события, связанные с подключением к системе аппаратного обеспечения и других (особенно новых и неизвестных) устройств. Датчики на конечных устройствах могут обнаруживать подключение нового оборудования через USB, Thunderbolt и другие порты, предназначенные для подключения внешних устройств. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Обнаружить посторонние компьютерные системы или сетевые устройства можно, проанализировав базы данных управления конфигурацией (CMDB) или другие системы управления активами. |
---|
Меры противодействия
ID | M1034 | Название | Ограничение установки аппаратного обеспечения | Описание | Блокируйте неизвестные устройства и аксессуары с помощью агента настройки и мониторинга безопасности конечных точек. |
---|
ID | M1035 | Название | Ограничение доступа к ресурсам по сети | Описание | Установите политики управления доступом к сети, например с помощью сертификатов устройств и стандарта 802.1x . Ограничьте использование DHCP зарегистрированными устройствами для предотвращения связи незарегистрированных устройств с доверенными системами. |
---|