Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1021 , T1021.001 , T1021.002 , T1021.003 , T1021.004 , T1021.005 , T1021.006 , T1021.007 , T1021.008
Злоумышленники могут использовать Valid Accounts для входа в компьютер с помощью протокола удаленного рабочего стола (RDP). Затем злоумышленник может выполнять действия в качестве вошедшего в систему пользователя.
Удаленный рабочий стол - распространенная функция в операционных системах. Она позволяет пользователю входить в интерактивную сессию с графическим интерфейсом рабочего стола системы на удаленной системе.Microsoft называет свою реализацию протокола удаленного рабочего стола (RDP) службами удаленного рабочего стола (RDS).(Цитата: TechNet Remote Desktop Services)
Злоумышленники могут подключиться к удаленной системе через RDP/RDS, чтобы расширить доступ, если служба включена и позволяет получить доступ к учетным записям с известными учетными данными. Злоумышленники, скорее всего, будут использовать методы доступа к учетным данным, чтобы получить учетные данные для использования RDP.Злоумышленники также могут использовать RDP в сочетании с Accessibility Features или Terminal Services DLL для обеспечения стойкости.(Цит. по: Вредоносная программа Alperovitch)
https://attack.mitre.org/techniques/T1021/001
Визуализация смежных техник для T1021.001
| № | Техника |
|---|
