T1219: ПО для удаленного доступа

Злоумышленники могут использовать легитимные средства техподдержки и удаленного доступа для интерактивного управления целевыми системами в сети. Такие службы, как VNC, TeamViewer, AnyDesk, ScreenConnect, LogMeIn, Ammyy Admin и другие инструменты для удаленного мониторинга и управления (RMM), часто используются как легитимное программное обеспечение технической поддержки и могут игнорироваться системами контроля приложений в целевой среде.

Злоумышленники могут установить программное обеспечение для удаленного доступа после компрометации системы и использовать его для запуска интерактивного сеанса на удаленном рабочем столе в целевой системе или как альтернативный канал связи для резервного доступа. Оно также может использоваться как компонент вредоносного ПО для установления обратного соединения или подключения к подконтрольным злоумышленникам сервисам или системам.

Аналогичным образом злоумышленники могут воспользоваться функциями удаленного доступа, встроенными в EDR-решения и другие защитные инструменты.

Многие программы для удаленного доступа также позволяют злоумышленникам закрепиться в системе (например, установщик программы может создавать службу Windows). Модули или функции удаленного доступа могут также входить в состав другого, уже установленного программного обеспечения (например, "Удаленный рабочий стол" в Google Chrome).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_command_and_control: PT-CR-2783: Dameware_Install: Использована система для удаленного администрирования Dameware. Злоумышленники могут использовать это ПО для перемещения внутри периметра и выгрузки конфиденциальных данных mitre_attck_command_and_control: PT-CR-2785: Dameware_MRC_Remote_Connect: Пользователь удаленно разместил исполняемый файл и подключился к нему либо зарегистрировал новый COM-сервер. Эти события свидетельствуют об использовании системы для удаленного администрирования Dameware MRC. Злоумышленники могут использовать это ПО для перемещения внутри периметра и выгрузки конфиденциальных данных hacking_tools: PT-CR-1725: Cobalt_Strike_HiddenDesktop: Активность модуля Cobalt Strike HiddenDesktop, который используется для взаимодействия с удаленным рабочим столом без ведома пользователя remote_work: PT-CR-2318: Remote_Administration_Tools_Usage: Использована утилита, предназначенная для удаленного администрирования remote_work: PT-CR-96: TeamViewer_Activity: Возможное подключение к серверу TeamViewer либо использование TeamViewer на узле remote_work: PT-CR-2990: LOLRMM_Tools_Usage: Использован инструмент для удаленного мониторинга и управления (RMM) remote_work: PT-CR-1913: File_Copy_Via_RemoteAccess_Tool: Создан подозрительный файл с помощью утилиты для удаленного доступа remote_work: PT-CR-1839: VNC_Connection: Подключение через VNC

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск приложений и процессов, связанных с ПО для удаленного администрирования. Сопоставляйте эту активность с другими подозрительными действиями, чтобы уменьшить количество ложных срабатываний, которые могут быть вызваны обычным легитимным использованием таких приложений и процессов пользователями и администраторами. Эта техника может использоваться наряду с техникой Домен-прикрытие для обхода механизмов защиты. Злоумышленникам, вероятно, придется развернуть и (или) установить такое ПО для удаленного администрирования на скомпрометированной системе. Для обнаружения или предотвращения установки такого ПО могут использоваться решения, обеспечивающие защиту на уровне узла.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Используйте контроль приложений для защиты от установки и использования несанкционированного программного обеспечения, которое может быть использовано для удаленного доступа.

IDM1037НазваниеФильтрация сетевого трафикаОписание

Правильно настройте межсетевые экраны, межсетевые экраны приложений и прокси-серверы, чтобы ограничить исходящий трафик к сайтам и службам, используемым ПО для удаленного доступа.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры, могут блокировать трафик к службам удаленного доступа.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

По возможности отключите ненужные функции удаленного подключения, включая как установку несанкционированного программного обеспечения, так и специфические функции, встроенные в поддерживаемые приложения.