T1219: ПО для удаленного доступа
Злоумышленники могут использовать легитимные средства техподдержки и удаленного доступа для интерактивного управления целевыми системами в сети. Такие службы, как VNC
, TeamViewer
, AnyDesk
, ScreenConnect
, LogMeIn
, Ammyy Admin
и другие инструменты для удаленного мониторинга и управления (RMM), часто используются как легитимное программное обеспечение технической поддержки и могут игнорироваться системами контроля приложений в целевой среде.
Злоумышленники могут установить программное обеспечение для удаленного доступа после компрометации системы и использовать его для запуска интерактивного сеанса на удаленном рабочем столе в целевой системе или как альтернативный канал связи для резервного доступа. Оно также может использоваться как компонент вредоносного ПО для установления обратного соединения или подключения к подконтрольным злоумышленникам сервисам или системам.
Аналогичным образом злоумышленники могут воспользоваться функциями удаленного доступа, встроенными в EDR-решения и другие защитные инструменты.
Многие программы для удаленного доступа также позволяют злоумышленникам закрепиться в системе (например, установщик программы может создавать службу Windows). Модули или функции удаленного доступа могут также входить в состав другого, уже установленного программного обеспечения (например, "Удаленный рабочий стол" в Google Chrome).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_command_and_control: PT-CR-1839: VNC_Connection: Подключение через VNC
mitre_attck_command_and_control: PT-CR-1913: File_Copy_via_RemoteAccess_Tool: Создание подозрительного файла с помощью утилиты для удаленного доступа
mitre_attck_command_and_control: PT-CR-2318: Remote_Administration_Tools_Usage: Использована утилита, предназначенная для удаленного администрирования
hacking_tools: PT-CR-1725: Cobalt_Strike_HiddenDesktop: Обнаружена активность модуля Cobalt Strike HiddenDesktop, который используется для взаимодействия с удаленным рабочим столом без ведома пользователя
remote_work: PT-CR-96: TeamViewer_connection_detect: Возможно, зафиксировано подключение TeamViewer (любое подключение на порт 5938 или HTTP(S)-подключение к одному из известных серверов TeamViewer, перечисленных в табличном списке "Teamviewer_servers_addresses")
remote_work: PT-CR-97: TeamViewer_service_detect: На узле было обнаружено использование TeamViewer. Узлы, допущенные к работе с TeamViewer, перечислены в табличном списке "Teamviewer_starters_whitelist"
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск приложений и процессов, связанных с ПО для удаленного администрирования. Сопоставляйте эту активность с другими подозрительными действиями, чтобы уменьшить количество ложных срабатываний, которые могут быть вызваны обычным легитимным использованием таких приложений и процессов пользователями и администраторами. Эта техника может использоваться наряду с техникой Домен-прикрытие для обхода механизмов защиты. Злоумышленникам, вероятно, придется развернуть и (или) установить такое ПО для удаленного администрирования на скомпрометированной системе. Для обнаружения или предотвращения установки такого ПО могут использоваться решения, обеспечивающие защиту на уровне узла. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с недоверенными узлами. |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Используйте контроль приложений для защиты от установки и использования несанкционированного программного обеспечения, которое может быть использовано для удаленного доступа. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности отключите ненужные функции удаленного подключения, включая как установку несанкционированного программного обеспечения, так и специфические функции, встроенные в поддерживаемые приложения. |
---|
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Правильно настройте межсетевые экраны, межсетевые экраны приложений и прокси-серверы, чтобы ограничить исходящий трафик к сайтам и службам, используемым ПО для удаленного доступа. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры, могут блокировать трафик к службам удаленного доступа. |
---|