Техника на mitre.org

T1040: Прослушивание сетевого трафика

Злоумышленники могут пассивно прослушивать сетевой трафик, чтобы собирать информацию о среде, включая передаваемые по сети данные для аутентификации. Под прослушиванием сетевого трафика понимается использование сетевого интерфейса системы для мониторинга или перехвата информации, передаваемой по проводному или беспроводному соединению. Злоумышленник может перевести сетевой интерфейс в неизбирательный режим, чтобы получить пассивный доступ к данным, передаваемым по сети, или использовать SPAN-порты для перехвата большего объема данных.

Данные, полученные с помощью этой техники, могут содержать учетные данные пользователя, особенно если они передаются по незащищенному незашифрованному протоколу. Техники, направленные на "отравление" службы разрешения имен, такие как Подмена LLMNR/NBT-NS-ответа и ретрансляция SMB, также могут использоваться для перехвата учетных данных веб-сайтов, прокси-серверов и внутренних систем путем перенаправления трафика злоумышленнику.

Прослушивание сетевого трафика может дать информацию о конфигурации, в частности данные о запущенных службах, номера версий и другие характеристики сети (например, IP-адреса, имена хостов, идентификаторы VLAN). Эта информация может быть необходима для последующих действий — перемещения внутри периметра и (или) предотвращения обнаружения. Злоумышленники также могут использовать прослушивание сетевого трафика в атаках типа "злоумышленник посередине" (AiTM) для пассивного получения дополнительных сведений о среде.

В облачных средах злоумышленники также могут использовать службы зеркалирования трафика для прослушивания сетевого трафика виртуальных машин. Например, AWS Traffic Mirroring, GCP Packet Mirroring и Azure vTap позволяют пользователям указывать, с каких экземпляров (инстансов) следует собирать трафик и куда его отправлять. Часто большая часть этого трафика передается в открытом виде из-за терминирования TLS на уровне балансировщика нагрузки, чтобы снизить расход ресурсов на шифрование и дешифрование трафика. Затем злоумышленники могут использовать такие методы эксфильтрации, как перемещение данных между облачными учетными записями, чтобы получить доступ к собранному трафику.

На сетевых устройствах злоумышленники могут осуществлять перехват сетевого трафика с помощью команд интерпретатора командной строки сетевых устройств, таких как monitor capture.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

eltex: PT-CR-2343: Eltex_Abnormal_Broadcast_Traffic: Аномальная широковещательная передача пакетов

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для пассивного прослушивания сетевого трафика с целью сбора информации о среде, включая передаваемые по сети данные для аутентификации.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут способствовать прослушиванию сетевого трафика для сбора информации о среде, в том числе передаваемых по сети данных для аутентификации. Примечание. Аналитика предназначена для систем Windows и направлена на поиск новых процессов с именами популярных инструментов для прослушивания сетевого трафика. Если системные администраторы регулярно используют такие инструменты для проверки сети, это может привести к большому количеству ложных срабатываний, однако в большинстве сетей их использование оправдано. Аналитика 1. Windows `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND Image="tshark.exe" OR Image="windump.exe" OR (Image="*logman.exe" AND ParentImage!="C:\Program Files\Windows Event Reporting\Core\EventReporting.AgentService.exe") OR Image= "tcpdump.exe" OR Image= "wprui.exe" OR Image= "wpr.exe" )`

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для пассивного прослушивания сетевого трафика с целью сбора информации о среде, включая передаваемые по сети данные для аутентификации.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут способствовать прослушиванию сетевого трафика для сбора информации о среде, в том числе передаваемых по сети данных для аутентификации. Примечание. Аналитика предназначена для систем Windows и направлена на поиск новых процессов с именами популярных инструментов для прослушивания сетевого трафика. Если системные администраторы регулярно используют такие инструменты для проверки сети, это может привести к большому количеству ложных срабатываний, однако в большинстве сетей их использование оправдано. Аналитика 1. Windows `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND Image="tshark.exe" OR Image="windump.exe" OR (Image="*logman.exe" AND ParentImage!="C:\Program Files\Windows Event Reporting\Core\EventReporting.AgentService.exe") OR Image= "tcpdump.exe" OR Image= "wprui.exe" OR Image= "wpr.exe" )`

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	При работе в облачной среде выдавайте разрешение на создание или изменение копий трафика только в случае конкретной необходимости.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию везде, где это возможно.

ID	M1041	Название	Шифрование важной информации	Описание	Проследите, чтобы весь проводной и беспроводной трафик был зашифрован соответствующим образом. Используйте лучшие практики для протоколов аутентификации, таких как Kerberos, и проследите, чтобы веб-трафик, который может содержать учетные данные, был защищен SSL/TLS.

ID	M1030	Название	Сегментация сети	Описание	Запретите прямой доступ, позволяющий осуществлять сниффинг широковещательных и многоадресных пакетов, и предотвратите такие атаки, как подмена LLMNR/NBT-NS-ответа и ретрансляция SMB.

ID	Название	Описание
M1018	Управление учетными записями	При работе в облачной среде выдавайте разрешение на создание или изменение копий трафика только в случае конкретной необходимости.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию везде, где это возможно.
M1041	Шифрование важной информации	Проследите, чтобы весь проводной и беспроводной трафик был зашифрован соответствующим образом. Используйте лучшие практики для протоколов аутентификации, таких как Kerberos, и проследите, чтобы веб-трафик, который может содержать учетные данные, был защищен SSL/TLS.
M1030	Сегментация сети	Запретите прямой доступ, позволяющий осуществлять сниффинг широковещательных и многоадресных пакетов, и предотвратите такие атаки, как подмена LLMNR/NBT-NS-ответа и ретрансляция SMB.