T1205: Передача управляющих сигналов в трафике
Злоумышленники могут использовать передачу управляющих сигналов в трафике для сокрытия открытых портов или другой вредоносной функциональности, используемой для закрепления или управления. При передаче управляющих сигналов в трафике на систему передаются магические числа или последовательности, вызывающие определенную реакцию, например открытие закрытого порта или выполнение вредоносной задачи. В частности, для открытия порта, который злоумышленники будут использовать для управления, они могут направить к портам серию пакетов с определенными свойствами. Как правило, они обращаются к закрытым портам в заранее известной последовательности (эта техника называется простукиванием портов), но могут также использовать нетипичные флаги, определенные строки или другие уникальные характеристики. После выполнения последовательности межсетевой экран атакованной системы (а в некоторых случаях — специальное программное обеспечение) открывает порт.
Злоумышленники также могут взаимодействовать с уже открытым портом, но служба, прослушивающая этот порт, будет отвечать на команды или выполнять другие вредоносные задачи только при получении определенного магического числа (или чисел).
Поиск сигнальных пакетов для установления взаимодействия может выполняться различными способами. Один из способов, впервые реализованный в бэкдоре Cd00r, заключается в использовании библиотек libpcap для перехвата нужных пакетов. В другом методе используются сырые сокеты, которые позволяют вредоносному ПО задействовать порты, уже открытые для других программ.
Злоумышленники могут использовать специально подготовленные пакеты для включения аутентификации на сетевых устройствах стандартных служб (например, telnet), доступных на устройстве. Управляющие сигналы также могут передаваться с целью открытия закрытого служебного порта, в частности telnet, или модификации модулей вредоносных имплантов на устройстве — добавления, удаления или изменения их вредоносных функций. Злоумышленники могут использовать специально подготовленные пакеты, чтобы подключиться к одному или нескольким (открытым или закрытым) портам либо к интерфейсу, широковещательному и сетевому IP-адресу маршрутизатора на том же порте для достижения своих целей. Для передачи управляющих сигналов в трафике на встраиваемые устройства с монолитными архитектурами злоумышленникам сначала нужно применить технику Внесение исправлений в образ системы.
Для включения выключенных систем злоумышленники могут использовать функцию пробуждения по сети (Wake-on-LAN). Wake-on-LAN — аппаратная функция, которая позволяет включить систему или вывести ее из спящего режима с помощью магического пакета. После этого система может использоваться злоумышленниками для перемещения внутри периметра.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD хранит данные сырого трафика и метаданные полей разобранных протоколов, что позволяет оператору проводить расследование инцидентов и вручную находить аномальные (необычные) сетевые сессии. Для обнаружения соединений с командными серверами в наборе экспертизы PTsecurity существует множество детектирующих правил, а соединения на нестандартный внешний порт обнаружит модуль ленты активностей.
Примеры модулей обнаружения PT NAD
- [Аномалия] Установленные соединения на новый внешний порт
Подтехники
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно запущенные приложения, инициирующие соединения через сырые сокеты. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запущенные процессы, использующие сырые сокеты. Проверьте, действительно ли этим процессам требуются открытые сырые сокеты и соответствуют ли они корпоративной политике. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте и анализируйте сетевые потоки данных, связанные с протоколами, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, или необычные шаблоны трафика). По возможности отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами или непредвиденными устройствами, а также отслеживайте другие необычные потоки данных. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов прикладного уровня, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, несоответствие портов протокола, а также необычные синтаксис или структура трафика). По возможности проверяйте пакеты на наличие магического пакета Wake-on-LAN, состоящего из 6 байт |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | В зависимости от того, как реализована эта техника, некоторые ее варианты могут быть смягчены с помощью брандмауэров с контролем состояния. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Отключите функцию Wake-on-LAN, если она не нужна в данной среде. |
---|