Инструменты удаленного доступа

Злоумышленник может использовать легитимные инструменты удаленного доступа для установления интерактивного канала управления и контроля в сети. Инструменты удаленного доступа создают сессию между двумя доверенными узлами через графический интерфейс, взаимодействие с командной строкой, протокольный туннель через программное обеспечение разработки или управления, или доступ на уровне аппаратного обеспечения, такой как KVM (клавиатура, видео, мышь) через IP-решения. Программное обеспечение для поддержки рабочих столов (обычно графический интерфейс) и программное обеспечение для удаленного управления (обычно интерфейс командной строки) позволяют пользователю управлять компьютером удаленно, как если бы он был локальным пользователем, наследующим разрешения пользователя или программного обеспечения. Это программное обеспечение обычно используется для устранения неполадок, установки программного обеспечения и управления системой. Злоумышленники могут аналогичным образом злоупотреблять функциями реагирования, включенными в EDR и другие защитные инструменты, которые обеспечивают удаленный доступ. Инструменты удаленного доступа могут быть установлены и использованы после компрометации в качестве альтернативного канала связи для резервного доступа или для установления интерактивной сессии удаленного рабочего стола с целевой системой. Они также могут использоваться в качестве компонента вредоносного ПО для установления обратного соединения или обратного подключения к сервису или системе, контролируемой злоумышленником. Установка многих инструментов удаленного доступа также может включать закрепление (например, процедура установки программного обеспечения создает Службу Windows). Модули/функции удаленного доступа также могут существовать как часть иного существующего программного обеспечения (например, удаленный рабочий стол Google Chrome).