Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1219 - Инструменты удаленного доступа

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1219 , T1219.001 , T1219.002 , T1219.003

Злоумышленник может использовать легальные инструменты удаленного доступа для установления интерактивного канала управления и контроля в сети. Инструменты удаленного доступа создают сеанс между двумя доверенными хостами через графический интерфейс, взаимодействие с командной строкой, протокольный туннель через программное обеспечение для разработки или управления, либо доступ на аппаратном уровне, такой как KVM (клавиатура, видео, мышь) через IP-решения. Программное обеспечение для поддержки рабочего стола (обычно графический интерфейс) и программное обеспечение для удаленного управления (обычно интерфейс командной строки) позволяют пользователю удаленно управлять компьютером, как если бы он был локальным пользователем, унаследовавшим права пользователя или программного обеспечения. Это программное обеспечение обычно используется для устранения неполадок, установки программного обеспечения и управления системой. (Цитирование: Symantec Living off the Land) (Цитирование: CrowdStrike 2015 Global Threat Report) (Источник: CrySyS Blog TeamSpy) Злоумышленники могут аналогичным образом злоупотреблять функциями реагирования, включенными в EDR и другие защитные инструменты, которые обеспечивают удаленный доступ.

Инструменты удаленного доступа могут быть установлены и использованы после взлома в качестве альтернативного канала связи для резервного доступа или для установления интерактивного сеанса удаленного рабочего стола с целевой системой. Они также могут использоваться в качестве компонента вредоносного ПО для установления обратного соединения или обратной связи с сервисом или системой, контролируемой злоумышленником.

Установка многих инструментов удаленного доступа может также включать в себя обеспечение постоянного присутствия (например, программа установки создает службу Windows). Модули/функции удаленного доступа также могут существовать как часть другого существующего программного обеспечения (например, удаленный рабочий стол Google Chrome). (Цитирование: удаленный рабочий стол Google Chrome) (Цитирование: удаленный рабочий стол Chrome)

https://attack.mitre.org/techniques/T1219

← Назад

Визуализация смежных техник для T1219

Отрасль:
 с подтехниками
Техника

Закрыть