Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1219
Злоумышленник может использовать легитимное программное обеспечение для поддержки настольных компьютеров и удаленного доступа для создания интерактивного канала управления целевыми системами в сети. Эти службы, такие как `VNC`, `Team Viewer`, `AnyDesk`, `ScreenConnect`, `LogMein`, `AmmyyAdmin` и другие инструменты удаленного мониторинга и управления (RMM), обычно используются как легитимное программное обеспечение технической поддержки и могут быть разрешены для контроля приложений в целевой среде.(Цитата: Symantec Living off the Land)(Цитата: CrowdStrike 2015 Global Threat Report)(Цитата: CrySyS Blog TeamSpy)
Программы удаленного доступа могут быть установлены и использованы после компрометации в качестве альтернативного канала связи для резервного доступа или как способ создания интерактивной сессии удаленного рабочего стола с целевой системой. Они также могут использоваться в качестве компонента вредоносного ПО для установления обратного соединения или обратного подключения к службе или системе, контролируемой Злоумышленником.
Аналогичным образом Злоумышленники могут злоупотреблять функциями реагирования, включенными в EDR и другие средства защиты, которые обеспечивают удаленный доступ.
Установка многих программ для удаленного доступа может также включать в себя постоянство (например, процедура установки программы создает службу Windows).Модули/функции удаленного доступа могут также существовать как часть другого существующего программного обеспечения (например, удаленный рабочий стол Google Chrome).(Цитата: Google Chrome Remote Desktop)(Цитата: Chrome Remote Desktop)
https://attack.mitre.org/techniques/T1219
Визуализация смежных техник для T1219
| № | Техника |
|---|
