T1219: ПО для удаленного доступа
Злоумышленники могут использовать легитимные средства техподдержки и удаленного доступа для интерактивного управления целевыми системами в сети. Такие службы, как VNC, TeamViewer, AnyDesk, ScreenConnect, LogMeIn, Ammyy Admin и другие инструменты для удаленного мониторинга и управления (RMM), часто используются как легитимное программное обеспечение технической поддержки и могут игнорироваться системами контроля приложений в целевой среде.
Злоумышленники могут установить программное обеспечение для удаленного доступа после компрометации системы и использовать его для запуска интерактивного сеанса на удаленном рабочем столе в целевой системе или как альтернативный канал связи для резервного доступа. Оно также может использоваться как компонент вредоносного ПО для установления обратного соединения или подключения к подконтрольным злоумышленникам сервисам или системам.
Аналогичным образом злоумышленники могут воспользоваться функциями удаленного доступа, встроенными в EDR-решения и другие защитные инструменты.
Многие программы для удаленного доступа также позволяют злоумышленникам закрепиться в системе (например, установщик программы может создавать службу Windows). Модули или функции удаленного доступа могут также входить в состав другого, уже установленного программного обеспечения (например, "Удаленный рабочий стол" в Google Chrome).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
remote_work: PT-CR-96: TeamViewer_Activity: Возможное подключение к серверу TeamViewer либо использование TeamViewer на узле remote_work: PT-CR-1913: File_Copy_Via_RemoteAccess_Tool: Создан подозрительный файл с помощью утилиты для удаленного доступа remote_work: PT-CR-1839: VNC_Connection: Подключение через VNC remote_work: PT-CR-2318: Remote_Administration_Tools_Usage: Использована утилита, предназначенная для удаленного администрирования hacking_tools: PT-CR-1725: Cobalt_Strike_HiddenDesktop: Активность модуля Cobalt Strike HiddenDesktop, который используется для взаимодействия с удаленным рабочим столом без ведома пользователя mitre_attck_command_and_control: PT-CR-2783: Dameware_Install: Использована система для удаленного администрирования Dameware. Злоумышленники могут использовать это ПО для перемещения внутри периметра и выгрузки конфиденциальных данных mitre_attck_command_and_control: PT-CR-2785: Dameware_MRC_Remote_Connect: Пользователь удаленно разместил исполняемый файл и подключился к нему либо зарегистрировал новый COM-сервер. Эти события свидетельствуют об использовании системы для удаленного администрирования Dameware MRC. Злоумышленники могут использовать это ПО для перемещения внутри периметра и выгрузки конфиденциальных данных
Способы обнаружения
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с недоверенными узлами. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск приложений и процессов, связанных с ПО для удаленного администрирования. Сопоставляйте эту активность с другими подозрительными действиями, чтобы уменьшить количество ложных срабатываний, которые могут быть вызваны обычным легитимным использованием таких приложений и процессов пользователями и администраторами. Эта техника может использоваться наряду с техникой Домен-прикрытие для обхода механизмов защиты. Злоумышленникам, вероятно, придется развернуть и (или) установить такое ПО для удаленного администрирования на скомпрометированной системе. Для обнаружения или предотвращения установки такого ПО могут использоваться решения, обеспечивающие защиту на уровне узла. |
|---|
Меры противодействия
| ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры, могут блокировать трафик к службам удаленного доступа. |
|---|
| ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Правильно настройте межсетевые экраны, межсетевые экраны приложений и прокси-серверы, чтобы ограничить исходящий трафик к сайтам и службам, используемым ПО для удаленного доступа. |
|---|
| ID | M1038 | Название | Защита от выполнения | Описание | Используйте контроль приложений для защиты от установки и использования несанкционированного программного обеспечения, которое может быть использовано для удаленного доступа. |
|---|
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности отключите ненужные функции удаленного подключения, включая как установку несанкционированного программного обеспечения, так и специфические функции, встроенные в поддерживаемые приложения. |
|---|