MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1219: ПО для удаленного доступа

Злоумышленники могут использовать легитимные средства техподдержки и удаленного доступа для интерактивного управления целевыми системами в сети. Такие службы, как VNC, TeamViewer, AnyDesk, ScreenConnect, LogMeIn, Ammyy Admin и другие инструменты для удаленного мониторинга и управления (RMM), часто используются как легитимное программное обеспечение технической поддержки и могут игнорироваться системами контроля приложений в целевой среде.

Злоумышленники могут установить программное обеспечение для удаленного доступа после компрометации системы и использовать его для запуска интерактивного сеанса на удаленном рабочем столе в целевой системе или как альтернативный канал связи для резервного доступа. Оно также может использоваться как компонент вредоносного ПО для установления обратного соединения или подключения к подконтрольным злоумышленникам сервисам или системам.

Аналогичным образом злоумышленники могут воспользоваться функциями удаленного доступа, встроенными в EDR-решения и другие защитные инструменты.

Многие программы для удаленного доступа также позволяют злоумышленникам закрепиться в системе (например, установщик программы может создавать службу Windows). Модули или функции удаленного доступа могут также входить в состав другого, уже установленного программного обеспечения (например, "Удаленный рабочий стол" в Google Chrome).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_command_and_control: PT-CR-1839: VNC_Connection: Подключение через VNC
mitre_attck_command_and_control: PT-CR-1913: File_Copy_via_RemoteAccess_Tool: Создание подозрительного файла с помощью утилиты для удаленного доступа
mitre_attck_command_and_control: PT-CR-2318: Remote_Administration_Tools_Usage: Использована утилита, предназначенная для удаленного администрирования
hacking_tools: PT-CR-1725: Cobalt_Strike_HiddenDesktop: Обнаружена активность модуля Cobalt Strike HiddenDesktop, который используется для взаимодействия с удаленным рабочим столом без ведома пользователя
remote_work: PT-CR-96: TeamViewer_connection_detect: Возможно, зафиксировано подключение TeamViewer (любое подключение на порт 5938 или HTTP(S)-подключение к одному из известных серверов TeamViewer, перечисленных в табличном списке "Teamviewer_servers_addresses")
remote_work: PT-CR-97: TeamViewer_service_detect: На узле было обнаружено использование TeamViewer. Узлы, допущенные к работе с TeamViewer, перечислены в табличном списке "Teamviewer_starters_whitelist"

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск приложений и процессов, связанных с ПО для удаленного администрирования. Сопоставляйте эту активность с другими подозрительными действиями, чтобы уменьшить количество ложных срабатываний, которые могут быть вызваны обычным легитимным использованием таких приложений и процессов пользователями и администраторами. Эта техника может использоваться наряду с техникой Домен-прикрытие для обхода механизмов защиты. Злоумышленникам, вероятно, придется развернуть и (или) установить такое ПО для удаленного администрирования на скомпрометированной системе. Для обнаружения или предотвращения установки такого ПО могут использоваться решения, обеспечивающие защиту на уровне узла.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

Меры противодействия

IDM1038НазваниеЗащита от выполненияОписание

Используйте контроль приложений для защиты от установки и использования несанкционированного программного обеспечения, которое может быть использовано для удаленного доступа.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

По возможности отключите ненужные функции удаленного подключения, включая как установку несанкционированного программного обеспечения, так и специфические функции, встроенные в поддерживаемые приложения.

IDM1037НазваниеФильтрация сетевого трафикаОписание

Правильно настройте межсетевые экраны, межсетевые экраны приложений и прокси-серверы, чтобы ограничить исходящий трафик к сайтам и службам, используемым ПО для удаленного доступа.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры, могут блокировать трафик к службам удаленного доступа.