MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1200: Подключение дополнительных устройств

Злоумышленники могут добавить в систему или сеть периферийные устройства, сетевое оборудование или другие вычислительные устройства и использовать их для получения несанкционированного доступа. Вместо подключения съемных носителей и распространения полезной нагрузки через них (техника Распространение через съемные носители) злоумышленники могут использовать более надежные дополнительные устройства, чтобы добавлять в систему и в дальнейшем эксплуатировать новые функции и (или) возможности.

Хотя в общедоступных источниках использование таких приемов злоумышленниками упоминается редко, многие специалисты по тестированию на проникновение используют подключение дополнительных устройств для первоначального доступа. Для этого могут использоваться решения с открытым исходным кодом и коммерческие продукты, обладающие такими возможностями, как пассивное прослушивание сети, модификация сетевого трафика (например, посредством техники "Злоумышленник посередине"), имитация нажатий клавиш, чтение памяти ядра через DMA и добавление новой точки беспроводного доступа к существующей сети.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1750: Process_from_Mounted_Disk: Запуск процесса со смонтированного диска
hacking_tools: PT-CR-1857: USB_Rubber_Ducky: Возможная активность USB RubberDucky

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.

IDDS0016Источник и компонент данныхНакопитель: Создание накопителяОписание

Отслеживайте появление новых накопителей и другие сопутствующие события, связанные с подключением к системе аппаратного обеспечения и других (особенно новых и неизвестных) устройств. Датчики на конечных устройствах могут обнаруживать подключение нового оборудования через USB, Thunderbolt и другие порты, предназначенные для подключения внешних устройств.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Обнаружить посторонние компьютерные системы или сетевые устройства можно, проанализировав базы данных управления конфигурацией (CMDB) или другие системы управления активами.

Меры противодействия

IDM1034НазваниеОграничение установки аппаратного обеспеченияОписание

Блокируйте неизвестные устройства и аксессуары с помощью агента настройки и мониторинга безопасности конечных точек.

IDM1035НазваниеОграничение доступа к ресурсам по сетиОписание

Установите политики управления доступом к сети, например с помощью сертификатов устройств и стандарта 802.1x . Ограничьте использование DHCP зарегистрированными устройствами для предотвращения связи незарегистрированных устройств с доверенными системами.