Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1021 - Удаленные службы

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1021 , T1021.001 , T1021.002 , T1021.003 , T1021.004 , T1021.005 , T1021.006 , T1021.007 , T1021.008

Злоумышленники могут использовать Valid Accounts для входа в службу, принимающую удаленные соединения, такие как telnet, SSH и VNC. Затем злоумышленник может выполнять действия от имени вошедшего в систему пользователя.

В корпоративной среде серверы и рабочие станции могут быть организованы в домены. Домены обеспечивают централизованное управление идентификацией, позволяя пользователям входить в систему с помощью одного набора учетных данных во всей сети. Если злоумышленнику удастся получить набор действительных учетных данных домена, он сможет войти во множество различных машин, используя протоколы удаленного доступа, такие как защищенная оболочка (SSH) или протокол удаленного рабочего стола (RDP).(Цитата: SSH Secure Shell)(Цитата: TechNet Remote Desktop Services) Он также сможет войти в доступные службы SaaS или IaaS, например те, которые объединяют их идентификационные данные с доменом.

Легитимные приложения (такие как Software Deployment Tools и другие административные программы) могут использовать Remote Services для доступа к удаленным узлам. Например, Apple Remote Desktop (ARD) на macOS - это родное программное обеспечение, используемое для удаленного управления. ARD использует несколько протоколов, включая VNC для передачи экрана и буферов управления и SSH для безопасной передачи файлов.(Цитата: Удаленное управление MDM macOS)(Цитата: Kickstart Apple Remote Desktop commands)(Цитата: Apple Remote Desktop Admin Guide 3.3) Злоумышленники могут использовать такие приложения, как ARD, для удаленного выполнения кода и осуществления бокового перемещения.В версиях macOS до 10.14 злоумышленник может перевести сеанс SSH в сеанс ARD, что позволяет ему принимать подсказки TCC (Transparency, Consent, and Control) без участия пользователя и получать доступ к данным.(Цитата: FireEye 2019 Apple Remote Desktop)(Цитата: Lockboxx ARD 2019)(Цитата: Kickstart Apple Remote Desktop commands)

https://attack.mitre.org/techniques/T1021

← Назад

Визуализация смежных техник для T1021

Отрасль:
 с подтехниками
Техника

Закрыть