T1090.001: Внутренний прокси-сервер

Злоумышленники могут использовать внутренний прокси-сервер для передачи трафика управления от одной системы к другой в скомпрометированной среде. Существует множество инструментов для перенаправления трафика через прокси-серверы или переадресацию портов, например HTran, ZXProxy и ZXPortMap . Злоумышленники используют внутренние прокси-серверы для управления взаимодействием с командным сервером в скомпрометированной среде, сокращения количества одновременных исходящих сетевых подключений, поддержания своей активности даже в случае потери соединения или использования существующих доверенных путей взаимодействия зараженных систем, чтобы не вызывать подозрений. Внутренние прокси-подключения могут использовать распространенные одноранговые (P2P) сетевые протоколы, такие как SMB, для маскировки вредоносной активности.

Используя скомпрометированную внутреннюю систему в качестве прокси-сервера, злоумышленники могут скрыть истинный адрес назначения трафика управления, а также снизить количество подключений к внешним системам.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_command_and_control: PT-CR-2638: Subrule_Unix_Possible_GS_Netcat_Usage: Множественные локальные сетевые подключения на один порт или множественные сетевые подключения к одному внешнему IP-адресу на порт 443. Это может быть признаком использования утилиты для проксирования сетевого трафика unix_mitre_attck_command_and_control: PT-CR-2648: Unix_Possible_GSocket_Usage: Попытка подключения к внешнему узлу через порт 443 с помощью утилиты из пакета Global Socket Toolkit (gsocket, blitz, gs-mount или gs-sftp). Это может быть действием злоумышленника с целью сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра unix_mitre_attck_command_and_control: PT-CR-2639: Unix_Possible_GS_Netcat_Usage: Попытка подключиться к внешнему узлу на порт назначения 443. Это может быть признаком использования утилиты gs-netcat для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра unix_mitre_attck_command_and_control: PT-CR-1700: Unix_Proxy_Forwarding: Возможное туннелирование трафика с Unix-узла на Windows-узел hacking_tools: PT-CR-2600: Cobalt_Strike_Browserpivot: С помощью маяка Cobalt Strike на узле жертвы выполнена команда "browserpivot", которая позволяет превратить браузер Internet Explorer (MS Edge) в прокси mitre_attck_command_and_control: PT-CR-2598: Possible_Proxy_Usage: Проксирование сетевого трафика. Возможное использование таких утилит, как Shadowsocks, NekoRay, RTUN и Burp Suite mitre_attck_command_and_control: PT-CR-610: Proxy_Tools_Usage: Запущена утилита для проксирования трафика mitre_attck_command_and_control: PT-CR-428: Possible_Network_Local_Tunnel: Попытка подключиться к удаленному узлу через туннель. Это может быть признаком использования туннеля для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра mitre_attck_command_and_control: PT-CR-467: Suspicious_Connection: Обнаружено сетевое обращение исполняемых файлов mitre_attck_command_and_control: PT-CR-969: Ligolo_Reverse_Tunneling: Создание обратного туннеля с помощью утилиты Ligolo(-ng) mitre_attck_command_and_control: PT-CR-461: Port_Forwarding_Or_Tunneling: Обнаружена возможная попытка пробросить сетевой порт it_bastion: PT-CR-2183: SKDPUNT_Connection_In_Session_Open: СКДПУ НТ обнаружила выполнение команды, чтобы создать новое соединение в сеансе it_bastion: PT-CR-2170: SKDPUNT_Connection_In_Session_Closed: СКДПУ НТ обнаружило завершение дополнительного сеанса в сеансах пользователя

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто связаны с уникальными индикаторами в протоколах и могут быть основаны на определенном протоколе управления, используемом конкретным злоумышленником или инструментом. В различных семействах и версиях вредоносных программ сигнатуры, скорее всего, будут отличаться. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты.