T1020.001: Дублирование трафика

Злоумышленники могут использовать зеркалирование трафика для автоматизации эксфильтрации данных через скомпрометированную инфраструктуру. Зеркалирование трафика — встроенная функция некоторых устройств, часто используемая для анализа сети. Например, устройства могут быть настроены на перенаправление сетевого трафика в одно или несколько мест для анализа сетевым анализатором или другим устройством мониторинга .

Злоумышленники могут использовать зеркалирование трафика в злонамеренных целях — для отправки его копии или его перенаправления в другую инфраструктуру, которая находится под их контролем. Вредоносные модификации сетевых устройств, позволяющие перенаправлять трафик, могут проводиться с помощью техники ROMMONkit или внесения исправлений в образ системы.

Зеркалирование трафика также поддерживают многие облачные среды. Например, AWS Traffic Mirroring, GCP Packet Mirroring и Azure vTap позволяют пользователям указывать, с каких экземпляров (инстансов) следует собирать трафик и куда его отправлять.

Злоумышленники могут использовать дублирование трафика в сочетании с прослушиванием сетевого трафика, перехватом вводимых данных или техникой "Злоумышленник посередине" в зависимости от своих целей и задач.

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Monitor for newly constructed network connections that are sent or received by abnormal or untrusted hosts.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Monitor and analyze network flows associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, or gratuitous or anomalous traffic patterns). Consider analyzing newly constructed network connections that are sent or received by untrusted hosts, unexpcted hardware devices, or other uncommon data flows.

Меры противодействия

IDM1041НазваниеШифрование важной информацииОписание

Ensure that all wired and/or wireless traffic is encrypted appropriately. Use best practices for authentication protocols, such as Kerberos, and ensure web traffic that may contain credentials is protected by SSL/TLS.

IDM1018НазваниеУправление учетными записямиОписание

In cloud environments, ensure that users are not granted permissions to create or modify traffic mirrors unless this is explicitly required.