T1021.003
Distributed Component Object Model
Distributed Component Object Modelتوضیحات
مهاجمان از DCOM برای اجرای کد روی سیستمهای راه دور استفاده میکنند.
روشهای شناسایی
نظارت بر فراخوانیهای DCOM از منابع غیرمعمول. بررسی رویدادهای مرتبط با DCOM.
روشهای مقابله
محدود کردن دسترسی به DCOM. استفاده از firewall برای محدود کردن پورتهای DCOM.
تکنیک اصلی
T1021Remote Services
سرویسهای راه دور
مهاجمان از اطلاعات اعتباری معتبر برای ورود به سرویسهای راه دور مانند SSH، RDP، SMB و VNC استفاده میکنند تا به سیستمهای دیگر در شبکه دسترسی پیدا کنند.