T1090.003: Цепочка прокси-серверов
Злоумышленники могут использовать цепочку прокси-серверов, чтобы скрыть источник вредоносного трафика. Как правило, специалисты по безопасности могут идентифицировать последний прокси-сервер, через который проходит трафик, прежде чем попадет в корпоративную сеть; идентифицировать предыдущие прокси-серверы возможно не всегда. Эта техника существенно затрудняет идентификацию первоначального источника вредоносного трафика, поскольку для этого требуется отследить его путь, пролегающий через несколько прокси-серверов.
Например, злоумышленники могут создавать или использовать сети с луковой маршрутизацией, такие как общедоступная сеть Tor, для передачи зашифрованного трафика управления через скомпрометированную среду, что позволяет взаимодействовать с любым устройством в соответствующей сети.
Для создания цепочки прокси-серверов в сетевой инфраструктуре злоумышленники могут использовать несколько скомпрометированных сетевых устройств. Путем внесения исправлений в образ системы на маршрутизаторах злоумышленники могут добавить на затронутые сетевые устройства собственный код, который позволит реализовать луковую маршрутизацию между этими узлами. Использование этой техники напрямую связано с техникой Преодоление границ сети, которая позволяет злоумышленникам пересекать периметр защищенной сети и проникать в глобальную сеть (WAN) организации. Для передачи трафика могут использоваться такие протоколы, как ICMP.
Точно так же злоумышленники могут использовать одноранговые (P2P) и блокчейн-инфраструктуры для маршрутизации трафика в децентрализованной сети.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен при помощи правил и модулей ленты активностей обнаруживать подключения к цепочкам прокси-серверов, которые характерны для использования сети Tor, а также других технологий, используемых для проксирования трафика.
Примеры правил обнаружения PT NAD
- POLICY [PTsecurity] TOR SSL connection (sid 10001464)
- TOOLS [PTsecurity] Pivotnacci proxy through web shell (sid 10007668)
- TOOLS [PTsecurity] Neo-reGeorgTool (sid 10006797)
- TOOLS [PTsecurity] reGeorg http tunnel response (sid 10006153)
Примеры фильтров PT NAD
- app_proto == "socks5"
- (rpt.cat == "tor-relays" && app_proto == "tls" and rpt.where == "flow.dst") or alert.msg ~ "*[PTsecurity]TOR"
Модули обнаружения PT NAD
- Соединения с внешними прокси-серверами SOCKS5
- Соединения с внешними серверами OpenVPN
- [Аномалия] Установленные соединения на новый внешний порт
- Подключения к нодам сети Tor
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с недоверенными узлами. |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Трафик к известным анонимным сетям и командной инфраструктуре может быть заблокирован с помощью списков разрешенных и блокируемых сетей. Следует отметить, что этот вид блокировки можно обойти с помощью других техник, например Домен-прикрытие. |
---|