T1021.001
Remote Desktop Protocol
Remote Desktop Protocolتوضیحات
مهاجمان از RDP برای ورود تعاملی به سیستمهای راه دور ویندوز استفاده میکنند.
روشهای شناسایی
نظارت بر اتصالات RDP از منابع غیرمعمول. بررسی رویدادهای 4624 با logon type 10.
روشهای مقابله
محدود کردن دسترسی RDP. استفاده از MFA. غیرفعال کردن RDP در صورت عدم نیاز.
تکنیک اصلی
T1021Remote Services
سرویسهای راه دور
مهاجمان از اطلاعات اعتباری معتبر برای ورود به سرویسهای راه دور مانند SSH، RDP، SMB و VNC استفاده میکنند تا به سیستمهای دیگر در شبکه دسترسی پیدا کنند.