T1021.004

SSH

توضیحات

مهاجمان از SSH برای ورود به سیستم‌های لینوکس و macOS راه دور استفاده می‌کنند.

روش‌های شناسایی

نظارت بر اتصالات SSH از منابع غیرمعمول. بررسی لاگ‌های /var/log/auth.log.

روش‌های مقابله

استفاده از key-based authentication. محدود کردن دسترسی SSH با AllowUsers. استفاده از MFA.

تکنیک اصلی

T1021Remote Services

سرویس‌های راه دور

مهاجمان از اطلاعات اعتباری معتبر برای ورود به سرویس‌های راه دور مانند SSH، RDP، SMB و VNC استفاده می‌کنند تا به سیستم‌های دیگر در شبکه دسترسی پیدا کنند.

سایر زیرتکنیک‌ها (5)

T1021.001 · Remote Desktop Protocol T1021.002 · SMB/Windows Admin Shares T1021.003 · Distributed Component Object Model T1021.005 · VNC T1021.006 · Windows Remote Management