T1090.003: Цепочка прокси-серверов
Злоумышленники могут использовать цепочку прокси-серверов, чтобы скрыть источник вредоносного трафика. Как правило, специалисты по безопасности могут идентифицировать последний прокси-сервер, через который проходит трафик, прежде чем попадет в корпоративную сеть; идентифицировать предыдущие прокси-серверы возможно не всегда. Эта техника существенно затрудняет идентификацию первоначального источника вредоносного трафика, поскольку для этого требуется отследить его путь, пролегающий через несколько прокси-серверов.
Например, злоумышленники могут создавать или использовать сети с луковой маршрутизацией, такие как общедоступная сеть Tor, для передачи зашифрованного трафика управления через скомпрометированную среду, что позволяет взаимодействовать с любым устройством в соответствующей сети.
Для создания цепочки прокси-серверов в сетевой инфраструктуре злоумышленники могут использовать несколько скомпрометированных сетевых устройств. Путем внесения исправлений в образ системы на маршрутизаторах злоумышленники могут добавить на затронутые сетевые устройства собственный код, который позволит реализовать луковую маршрутизацию между этими узлами. Использование этой техники напрямую связано с техникой Преодоление границ сети, которая позволяет злоумышленникам пересекать периметр защищенной сети и проникать в глобальную сеть (WAN) организации. Для передачи трафика могут использоваться такие протоколы, как ICMP.
Точно так же злоумышленники могут использовать одноранговые (P2P) и блокчейн-инфраструктуры для маршрутизации трафика в децентрализованной сети.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен при помощи правил и модулей ленты активностей обнаруживать подключения к цепочкам прокси-серверов, которые характерны для использования сети Tor, а также других технологий, используемых для проксирования трафика.
Примеры правил обнаружения PT NAD
- POLICY [PTsecurity] TOR SSL connection (sid 10001464)
- TOOLS [PTsecurity] Pivotnacci proxy through web shell (sid 10007668)
- TOOLS [PTsecurity] Neo-reGeorgTool (sid 10006797)
- TOOLS [PTsecurity] reGeorg http tunnel response (sid 10006153)
Примеры фильтров PT NAD
- app_proto == "socks5"
- (rpt.cat == "tor-relays" && app_proto == "tls" and rpt.where == "flow.dst") or alert.msg ~ "*[PTsecurity]TOR"
Модули обнаружения PT NAD
- Соединения с внешними прокси-серверами SOCKS5
- Соединения с внешними серверами OpenVPN
- [Аномалия] Установленные соединения на новый внешний порт
- Подключения к нодам сети Tor
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Monitor for newly constructed network connections that are sent or received by untrusted hosts. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Traffic to known anonymity networks and C2 infrastructure can be blocked through the use of network allow and block lists. It should be noted that this kind of blocking may be circumvented by other techniques like Domain Fronting. |
---|