T1090: Прокси-сервер

Злоумышленники могут использовать прокси-сервер для обеспечения сетевого взаимодействия между системами или с командным сервером, чтобы исключить прямые подключения к своей инфраструктуре. Существует множество инструментов для перенаправления трафика через прокси-серверы или переадресацию портов, например HTran, ZXProxy и ZXPortMap . Злоумышленники используют такие прокси-серверы для управления взаимодействием с командным сервером, сокращения количества одновременных исходящих сетевых подключений, поддержания своей активности даже в случае потери соединения или использования существующих доверенных путей взаимодействия зараженных систем, чтобы не вызывать подозрений. Злоумышленники могут использовать цепочку прокси-серверов, чтобы еще надежнее скрыть источник вредоносного трафика.

Злоумышленники могут также воспользоваться схемами маршрутизации в сетях доставки содержимого (CDN) для проксирования трафика управления.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_command_and_control: PT-CR-2598: Possible_Proxy_Usage: Проксирование сетевого трафика. Возможное использование таких утилит, как Shadowsocks, NekoRay, RTUN и Burp Suite mitre_attck_command_and_control: PT-CR-428: Possible_Network_Local_Tunnel: Попытка подключиться к удаленному узлу через туннель. Это может быть признаком использования туннеля для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра mitre_attck_command_and_control: PT-CR-2564: Subrule_Possible_Network_Local_Tunnel: Множественные локальные сетевые подключения на один порт или множественные сетевые подключения к одному IP-адресу. Это может быть признаком проксирования сетевого трафика mitre_attck_command_and_control: PT-CR-2599: Subrule_Possible_Proxy_Usage: Множественные сетевые подключения к одному узлу и внутри узла с помощью одного процесса. Это может быть признаком использования утилиты для проксирования сетевого трафика

Подтехники

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретных вредоносных программ злоумышленника, могут быть использованы для снижения активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретном протоколе C2, используемом конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Вероятно, со временем злоумышленники будут менять сигнатуры инструментов C2 или строить протоколы таким образом, чтобы избежать обнаружения обычными защитными инструментами .

IDM1037НазваниеФильтрация сетевого трафикаОписание

Трафик к известным сетям анонимности и инфраструктуре C2 может быть заблокирован с помощью списков разрешенных и блокированных сетей. Следует отметить, что этот вид блокировки можно обойти с помощью других техник, например Domain Fronting.

IDM1020НазваниеПроверка SSL/TLSОписание

Если есть возможность проверять HTTPS-трафик, полученные сведения можно анализировать в поисках подключений, напоминающих использование домена-прикрытия.