Техника на mitre.org

T1200: Подключение дополнительных устройств

Злоумышленники могут добавить в систему или сеть периферийные устройства, сетевое оборудование или другие вычислительные устройства и использовать их для получения несанкционированного доступа. Вместо подключения съемных носителей и распространения полезной нагрузки через них (техника Распространение через съемные носители) злоумышленники могут использовать более надежные дополнительные устройства, чтобы добавлять в систему и в дальнейшем эксплуатировать новые функции и (или) возможности.

Хотя в общедоступных источниках использование таких приемов злоумышленниками упоминается редко, многие специалисты по тестированию на проникновение используют подключение дополнительных устройств для первоначального доступа. Для этого могут использоваться решения с открытым исходным кодом и коммерческие продукты, обладающие такими возможностями, как пассивное прослушивание сети, модификация сетевого трафика (например, посредством техники "Злоумышленник посередине"), имитация нажатий клавиш, чтение памяти ядра через DMA и добавление новой точки беспроводного доступа к существующей сети.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

hacking_tools: PT-CR-1857: USB_Rubber_Ducky: Возможная активность USB RubberDucky mitre_attck_defense_evasion: PT-CR-1750: Process_From_Mounted_Disk: Запуск процесса со смонтированного диска

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Обнаружить посторонние компьютерные системы или сетевые устройства можно, проанализировав базы данных управления конфигурацией (CMDB) или другие системы управления активами.

ID	DS0016	Источник и компонент данных	Накопитель: Создание накопителя	Описание	Отслеживайте появление новых накопителей и другие сопутствующие события, связанные с подключением к системе аппаратного обеспечения и других (особенно новых и неизвестных) устройств. Датчики на конечных устройствах могут обнаруживать подключение нового оборудования через USB, Thunderbolt и другие порты, предназначенные для подключения внешних устройств.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.
DS0015	Журналы приложений: Содержимое журналов приложений	Обнаружить посторонние компьютерные системы или сетевые устройства можно, проанализировав базы данных управления конфигурацией (CMDB) или другие системы управления активами.
DS0016	Накопитель: Создание накопителя	Отслеживайте появление новых накопителей и другие сопутствующие события, связанные с подключением к системе аппаратного обеспечения и других (особенно новых и неизвестных) устройств. Датчики на конечных устройствах могут обнаруживать подключение нового оборудования через USB, Thunderbolt и другие порты, предназначенные для подключения внешних устройств.

Меры противодействия

ID	M1034	Название	Ограничение установки аппаратного обеспечения	Описание	Блокируйте неизвестные устройства и аксессуары с помощью агента настройки и мониторинга безопасности конечных точек.

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	Установите политики управления доступом к сети, например с помощью сертификатов устройств и стандарта 802.1x . Ограничьте использование DHCP зарегистрированными устройствами для предотвращения связи незарегистрированных устройств с доверенными системами.

ID	Название	Описание
M1034	Ограничение установки аппаратного обеспечения	Блокируйте неизвестные устройства и аксессуары с помощью агента настройки и мониторинга безопасности конечных точек.
M1035	Ограничение доступа к ресурсам по сети	Установите политики управления доступом к сети, например с помощью сертификатов устройств и стандарта 802.1x . Ограничьте использование DHCP зарегистрированными устройствами для предотвращения связи незарегистрированных устройств с доверенными системами.