Техника на mitre.org

T1090.002: Внешний прокси-сервер

Злоумышленники могут использовать внешний прокси-сервер для обеспечения сетевого взаимодействия с командным сервером, чтобы исключить прямые подключения к своей инфраструктуре. Существует множество инструментов для перенаправления трафика через прокси-серверы или переадресацию портов, например HTran, ZXProxy и ZXPortMap . Злоумышленники используют такие прокси-серверы для управления взаимодействием с командным сервером, поддержания своей активности даже в случае потери соединения или использования существующих доверенных путей взаимодействия, чтобы не вызывать подозрений.

Внешние прокси-серверы используются для скрытия истинного адреса назначения трафика управления и чаще всего реализуются с помощью перенаправителей портов. Для этого могут использоваться скомпрометированные системы, находящиеся за пределами целевой среды, а также приобретенная инфраструктура, например облачные ресурсы или виртуальные выделенные серверы (VPS). Злоумышленники могут стараться выбирать наименее подозрительные прокси-серверы — такие, подключение к которым скомпрометированных систем вряд ли будет расследоваться. Целевые системы через интернет взаимодействуют с внешним прокси-сервером, который перенаправляет полученный трафик на командный сервер.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_command_and_control: PT-CR-610: Proxy_Tools_Usage: Запущена утилита для проксирования трафика mitre_attck_command_and_control: PT-CR-2598: Possible_Proxy_Usage: Проксирование сетевого трафика. Возможное использование таких утилит, как Shadowsocks, NekoRay, RTUN и Burp Suite mitre_attck_command_and_control: PT-CR-969: Ligolo_Reverse_Tunneling: Создание обратного туннеля с помощью утилиты Ligolo(-ng) mitre_attck_command_and_control: PT-CR-428: Possible_Network_Local_Tunnel: Попытка подключиться к удаленному узлу через туннель. Это может быть признаком использования туннеля для сетевой разведки, получения доступа к локальным ресурсам или перемещения внутри периметра mitre_attck_command_and_control: PT-CR-467: Suspicious_Connection: Обнаружено сетевое обращение исполняемых файлов

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с недоверенными узлами.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с недоверенными узлами.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто связаны с уникальными индикаторами в протоколах и могут быть основаны на определенном протоколе управления, используемом конкретным злоумышленником или инструментом. В различных семействах и версиях вредоносных программ сигнатуры, скорее всего, будут отличаться. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты.

ID	Название	Описание
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто связаны с уникальными индикаторами в протоколах и могут быть основаны на определенном протоколе управления, используемом конкретным злоумышленником или инструментом. В различных семействах и версиях вредоносных программ сигнатуры, скорее всего, будут отличаться. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты.