ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1219

术语表: /attack/glossary

远程访问工具

攻击者可以使用合法的桌面支持和远程访问软件,如 Team Viewer、Go2Assist、LogMein、AmmyyAdmin 等,建立与网络内目标系统交互的命令与控制信道。 这些服务通常用作合法的技术支持软件,并且可以在目标环境中列入白名单。 与其他合法软件相比,攻击者经常使用 VNC、Ammy 和 Teamviewer 等远程访问工具。

可以建立远程访问工具,并将其用作冗余访问 (Redundant Access) 的备用通信信道,或作为与目标系统建立交互式远程桌面会话的一种方式。 它们也可以作为恶意软件的组成部分,用于建立反向连接或后台连接到服务或攻击者控制的系统。 TeamViewer 等管理工具已被多个团体用于俄罗斯政府感兴趣的国家机构和犯罪活动。

缓解

正确配置防火墙、应用程序防火墙和代理,以限制远程访问工具使用的站点和服务的传出流量。 也可以使用利用网络签名的网络入侵检测和防御系统阻止这些服务的流量。 使用应用程序白名单来减少未经批准的软件的使用和安装。

检测

监控与远程管理工具相关的应用程序和进程。 将活动与其他可疑行为关联起来,以减少由于合法用户和管理员使用工具而产生的误报。 为不常见的数据流分析网络数据(例如,客户机发送的数据明显多于从服务器接收的数据)。 利用通常没有网络通信或以前从未见过的网络的进程是可疑的。 分析数据包内容以检测不遵循正在使用的端口的预期协议的应用程序层协议。 攻击者可能结合域前置以规避防御。 攻击者可能需要将这些远程工具部署和/或安装到受攻击的系统中。 可以使用基于主机的解决方案检测或阻止这些工具的安装。