T1090: Прокси-сервер
Злоумышленники могут использовать прокси-сервер для обеспечения сетевого взаимодействия между системами или с командным сервером, чтобы исключить прямые подключения к своей инфраструктуре. Существует множество инструментов для перенаправления трафика через прокси-серверы или переадресацию портов, например HTran, ZXProxy и ZXPortMap . Злоумышленники используют такие прокси-серверы для управления взаимодействием с командным сервером, сокращения количества одновременных исходящих сетевых подключений, поддержания своей активности даже в случае потери соединения или использования существующих доверенных путей взаимодействия зараженных систем, чтобы не вызывать подозрений. Злоумышленники могут использовать цепочку прокси-серверов, чтобы еще надежнее скрыть источник вредоносного трафика.
Злоумышленники могут также воспользоваться схемами маршрутизации в сетях доставки содержимого (CDN) для проксирования трафика управления.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_command_and_control: PT-CR-2598: Possible_Proxy_Usage: Проксирование сетевого трафика. Возможное использование таких утилит, как Shadowsocks, NekoRay, RTUN и Burp Suite mitre_attck_command_and_control: PT-CR-428: Possible_Network_Local_Tunnel: Попытка подключиться к удаленному узлу через туннель. Это может быть признаком использования туннеля для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра mitre_attck_command_and_control: PT-CR-2564: Subrule_Possible_Network_Local_Tunnel: Множественные локальные сетевые подключения на один порт или множественные сетевые подключения к одному IP-адресу. Это может быть признаком проксирования сетевого трафика mitre_attck_command_and_control: PT-CR-2599: Subrule_Possible_Proxy_Usage: Множественные сетевые подключения к одному узлу и внутри узла с помощью одного процесса. Это может быть признаком использования утилиты для проксирования сетевого трафика
Подтехники
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретных вредоносных программ злоумышленника, могут быть использованы для снижения активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретном протоколе C2, используемом конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Вероятно, со временем злоумышленники будут менять сигнатуры инструментов C2 или строить протоколы таким образом, чтобы избежать обнаружения обычными защитными инструментами . |
---|
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Трафик к известным сетям анонимности и инфраструктуре C2 может быть заблокирован с помощью списков разрешенных и блокированных сетей. Следует отметить, что этот вид блокировки можно обойти с помощью других техник, например Domain Fronting. |
---|
ID | M1020 | Название | Проверка SSL/TLS | Описание | Если есть возможность проверять HTTPS-трафик, полученные сведения можно анализировать в поисках подключений, напоминающих использование домена-прикрытия. |
---|