T1090.003: Цепочка прокси-серверов

Злоумышленники могут использовать цепочку прокси-серверов, чтобы скрыть источник вредоносного трафика. Как правило, специалисты по безопасности могут идентифицировать последний прокси-сервер, через который проходит трафик, прежде чем попадет в корпоративную сеть; идентифицировать предыдущие прокси-серверы возможно не всегда. Эта техника существенно затрудняет идентификацию первоначального источника вредоносного трафика, поскольку для этого требуется отследить его путь, пролегающий через несколько прокси-серверов.

Например, злоумышленники могут создавать или использовать сети с луковой маршрутизацией, такие как общедоступная сеть Tor, для передачи зашифрованного трафика управления через скомпрометированную среду, что позволяет взаимодействовать с любым устройством в соответствующей сети.

Для создания цепочки прокси-серверов в сетевой инфраструктуре злоумышленники могут использовать несколько скомпрометированных сетевых устройств. Путем внесения исправлений в образ системы на маршрутизаторах злоумышленники могут добавить на затронутые сетевые устройства собственный код, который позволит реализовать луковую маршрутизацию между этими узлами. Использование этой техники напрямую связано с техникой Преодоление границ сети, которая позволяет злоумышленникам пересекать периметр защищенной сети и проникать в глобальную сеть (WAN) организации. Для передачи трафика могут использоваться такие протоколы, как ICMP.

Точно так же злоумышленники могут использовать одноранговые (P2P) и блокчейн-инфраструктуры для маршрутизации трафика в децентрализованной сети.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен при помощи правил и модулей ленты активностей обнаруживать подключения к цепочкам прокси-серверов, которые характерны для использования сети Tor, а также других технологий, используемых для проксирования трафика.

Примеры правил обнаружения PT NAD

  • POLICY [PTsecurity] TOR SSL connection (sid 10001464)
  • TOOLS [PTsecurity] Pivotnacci proxy through web shell (sid 10007668)
  • TOOLS [PTsecurity] Neo-reGeorgTool (sid 10006797)
  • TOOLS [PTsecurity] reGeorg http tunnel response (sid 10006153)

Примеры фильтров PT NAD

  • app_proto == "socks5"
  • (rpt.cat == "tor-relays" && app_proto == "tls" and rpt.where == "flow.dst") or alert.msg ~ "*[PTsecurity]TOR"

Модули обнаружения PT NAD

  • Соединения с внешними прокси-серверами SOCKS5
  • Соединения с внешними серверами OpenVPN
  • [Аномалия] Установленные соединения на новый внешний порт
  • Подключения к нодам сети Tor

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

Меры противодействия

IDM1037НазваниеФильтрация сетевого трафикаОписание

Трафик к известным анонимным сетям и командной инфраструктуре может быть заблокирован с помощью списков разрешенных и блокируемых сетей. Следует отметить, что этот вид блокировки можно обойти с помощью других техник, например Домен-прикрытие.