T1219 - «Инструменты удаленного доступа» (Remote Access Tools) - это техника MITRE ATT&CK, используемая злоумышленниками для создания скрытых каналов удаленного управления и связи (C2) внутри скомпрометированной среды. RAT включают в себя как программные, так и аппаратные средства, позволяющие атакующим удаленно контролировать взломанные системы. Эти инструменты дают возможность взаимодействовать с целевыми машинами так, как если бы они находились рядом физически, обходя многие средства защиты и обеспечивая прямой доступ к внутренним сетям и системам.
RAT могут функционировать через различные методы, включая графические интерфейсы удаленного рабочего стола, удаленное управление через командную строку, туннелирование протоколов с помощью инструментов разработки и даже доступ на аппаратном уровне, такой как KVM over IP (Клавиатура, Видео, Мышь). Используя доверенные методы связи, обычно применяемые ИТ-администраторами, злоумышленники могут маскировать свои вредоносные действия под обычный сетевой трафик, что затрудняет их обнаружение.
Использование T1219 злоумышленниками
Злоумышленники используют технику T1219 для получения и поддержания постоянного, интерактивного контроля над скомпрометированными средами. Эксплуатируя легитимные RAT или применяя собственные инструменты, атакующие могут настроить скрытый канал управления, который имитирует законные административные задачи или действия по устранению неполадок, что затрудняет для систем безопасности различие между вредоносной и безвредной активностью.
После установки RAT злоумышленники обычно используют их для:
- Организации интерактивных каналов управления и связи, которые тесно напоминают санкционированную удаленную административную деятельность, позволяя им выполнять команды, похищать данные или развертывать дополнительные полезные нагрузки.
- Поддержания постоянного или резервного доступа, гарантируя, что они смогут вернуться в скомпрометированную среду, если другие методы доступа будут нарушены или обнаружены.
- Использования встроенных функций удаленного доступа, имеющихся в легитимном программном обеспечении или вредоносном ПО, что обеспечивает плавный, незаметный бэкдор-доступ, сохраняющийся после перезагрузок системы и других сбоев.
Например, атакующие часто используют RAT после первоначального взлома для поддержания контроля над системой. Многие RAT регистрируют себя как службы Windows или используют встроенные механизмы сохранения, которые гарантируют восстановление соединения после перезагрузки. Кроме того, аппаратные RAT, такие как KVM over IP, позволяют злоумышленникам полностью обходить программные средства защиты, действуя на уровне BIOS или прошивки.
Используя инструменты удаленного доступа, злоумышленники могут работать с теми же правами пользователя, что и легитимные администраторы, что позволяет им уклоняться от обнаружения и сохранять контроль в течение длительного времени. Это делает RAT ключевым инструментом для долгосрочных, скрытных вторжений.
Подтехники T1219: Инструменты удаленного доступа
Техника «Инструменты удаленного доступа» в версии MITRE ATT&CK v18 состоит из 3 подтехник.
Этот материал служит центральной страницей для техники T1219. Каждая связанная страница подтехники объясняет, как работает техника, подробно описывает поведение злоумышленников и включает примеры реальных процедур, наблюдавшихся в дикой природе и задокументированных в Red Report.
- T1219.001: Туннелирование через среды разработки (IDE Tunneling) - использование функций удаленного доступа, встроенных в интегрированные среды разработки (например: Visual Studio Code с удаленными сессиями) для обхода сетевых ограничений.
- T1219.002: Программное обеспечение удаленного рабочего стола (Remote Desktop Software) - применение легитимных программ вроде TeamViewer, AnyDesk, Ammyy Admin для интерактивного контроля над системой, часто с использованием стандартных портов и шифрования.
- T1219.003: Аппаратные средства удаленного доступа (Remote Access Hardware) - использование физических устройств, таких как KVM over IP или выделенные серверы удаленного управления (например: Dell DRAC, HP iLO), для доступа на уровне, недоступном для программных средств защиты.
