T1020.001: Дублирование трафика
Злоумышленники могут использовать зеркалирование трафика для автоматизации эксфильтрации данных через скомпрометированную инфраструктуру. Зеркалирование трафика — встроенная функция некоторых устройств, часто используемая для анализа сети. Например, устройства могут быть настроены на перенаправление сетевого трафика в одно или несколько мест для анализа сетевым анализатором или другим устройством мониторинга .
Злоумышленники могут использовать зеркалирование трафика в злонамеренных целях — для отправки его копии или его перенаправления в другую инфраструктуру, которая находится под их контролем. Вредоносные модификации сетевых устройств, позволяющие перенаправлять трафик, могут проводиться с помощью техники ROMMONkit или внесения исправлений в образ системы.
Зеркалирование трафика также поддерживают многие облачные среды. Например, AWS Traffic Mirroring, GCP Packet Mirroring и Azure vTap позволяют пользователям указывать, с каких экземпляров (инстансов) следует собирать трафик и куда его отправлять.
Злоумышленники могут использовать дублирование трафика в сочетании с прослушиванием сетевого трафика, перехватом вводимых данных или техникой "Злоумышленник посередине" в зависимости от своих целей и задач.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Juniper: Мониторинг событий, связанных с выполнением команд, в командной строке которых есть фрагменты «edit forwarding-options port-mirroring» и «set port-mirror». — Cisco IOS: Мониторинг событий, связанных с выполнением команд, в командной строке которых есть фрагменты «monitor session» и «remote-span»
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с аномальными или недоверенными узлами. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте и анализируйте сетевые потоки данных, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, или необычные шаблоны трафика). По возможности отслеживайте создание соединений с недоверенными узлами и нетипичными физическими устройствами, а также другие необычные потоки данных. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | При работе в облачной среде выдавайте разрешение на создание или изменение копий трафика только в случае конкретной необходимости. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | Проследите, чтобы весь проводной и беспроводной трафик был зашифрован соответствующим образом. Используйте лучшие практики для протоколов аутентификации, таких как Kerberos, и проследите, чтобы веб-трафик, который может содержать учетные данные, был защищен SSL/TLS. |
---|