T1020.001: Дублирование трафика

Злоумышленники могут использовать зеркалирование трафика для автоматизации эксфильтрации данных через скомпрометированную инфраструктуру. Зеркалирование трафика — встроенная функция некоторых устройств, часто используемая для анализа сети. Например, устройства могут быть настроены на перенаправление сетевого трафика в одно или несколько мест для анализа сетевым анализатором или другим устройством мониторинга .

Злоумышленники могут использовать зеркалирование трафика в злонамеренных целях — для отправки его копии или его перенаправления в другую инфраструктуру, которая находится под их контролем. Вредоносные модификации сетевых устройств, позволяющие перенаправлять трафик, могут проводиться с помощью техники ROMMONkit или внесения исправлений в образ системы.

Зеркалирование трафика также поддерживают многие облачные среды. Например, AWS Traffic Mirroring, GCP Packet Mirroring и Azure vTap позволяют пользователям указывать, с каких экземпляров (инстансов) следует собирать трафик и куда его отправлять.

Злоумышленники могут использовать дублирование трафика в сочетании с прослушиванием сетевого трафика, перехватом вводимых данных или техникой "Злоумышленник посередине" в зависимости от своих целей и задач.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

— Juniper: Мониторинг событий, связанных с выполнением команд, в командной строке которых есть фрагменты «edit forwarding-options port-mirroring» и «set port-mirror». — Cisco IOS: Мониторинг событий, связанных с выполнением команд, в командной строке которых есть фрагменты «monitor session» и «remote-span»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с аномальными или недоверенными узлами.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте и анализируйте сетевые потоки данных, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, или необычные шаблоны трафика). По возможности отслеживайте создание соединений с недоверенными узлами и нетипичными физическими устройствами, а также другие необычные потоки данных.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

При работе в облачной среде выдавайте разрешение на создание или изменение копий трафика только в случае конкретной необходимости.

IDM1041НазваниеШифрование важной информацииОписание

Проследите, чтобы весь проводной и беспроводной трафик был зашифрован соответствующим образом. Используйте лучшие практики для протоколов аутентификации, таких как Kerberos, и проследите, чтобы веб-трафик, который может содержать учетные данные, был защищен SSL/TLS.