Матрица MITRE ATT&CK

Техника на mitre.org

T1090.004: Домен-прикрытие

Злоумышленники могут воспользоваться схемами маршрутизации в сетях доставки содержимого (CDN) и других сервисах с несколькими доменами для обфускации истинного адреса назначения HTTPS-трафика или трафика, туннелируемого через HTTPS . Эта техника заключается в использовании разных доменных имен в поле SNI заголовка TLS и в поле Host заголовка HTTP. Если оба домена обслуживаются одной и той же CDN, то CDN может направить трафик адресу, указанному в заголовке HTTP, после распаковки заголовка TLS. Одна из разновидностей этой техники предусматривает использование пустого поля SNI; это позволяет трафику достичь цели, даже если CDN будет проверять совпадение полей SNI и Host (в случае игнорирования пустых полей SNI).

Например, если домен X и домен Y являются клиентами одной CDN, злоумышленники могут указать адрес домена X в заголовке TLS, а адрес домена Y — в заголовке HTTP. В этом случае будет казаться, что трафик направлен адресу домена X, но CDN, скорее всего, доставит его адресу домена Y.

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

ID	M1020	Название	Проверка SSL/TLS	Описание	Если есть возможность проверять HTTPS-трафик, полученные сведения можно анализировать в поисках подключений, напоминающих использование домена-прикрытия.

ID	Название	Описание
M1020	Проверка SSL/TLS	Если есть возможность проверять HTTPS-трафик, полученные сведения можно анализировать в поисках подключений, напоминающих использование домена-прикрытия.