T1205.001: Простукивание портов

Злоумышленники могут использовать технику простукивания портов для сокрытия открытых портов, используемых для закрепления или управления. Злоумышленник предпринимает несколько попыток подключения к закрытым портам в заранее определенной последовательности, после чего межсетевой экран атакованной системы (в некоторых случаях — специальное программное обеспечение) открывает порт.

Эта техника использовалась как для открытия динамических прослушивающих портов, так и для установления соединения с сервером, который прослушивает трафик на другой системе.

Поиск сигнальных пакетов для установления взаимодействия может выполняться различными способами. Один из способов, впервые реализованный в бэкдоре Cd00r, заключается в использовании библиотек libpcap для перехвата нужных пакетов. В другом методе используются сырые сокеты, которые позволяют вредоносному ПО задействовать порты, уже открытые для других программ.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD хранит данные сырого трафика и метаданные полей разобранных протоколов, что позволяет оператору проводить расследование инцидентов и вручную находить аномальные (необычные) сетевые сессии. Для обнаружения соединений с командными серверами в наборе экспертизы PTsecurity существует множество детектирующих правил, а соединения на нестандартный внешний порт обнаружит модуль ленты активностей.

Примеры модулей обнаружения PT NAD

[Аномалия] Установленные соединения на новый внешний порт

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с недоверенными узлами.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте и анализируйте сетевые потоки данных, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, или необычные шаблоны трафика). По возможности отслеживайте создание соединений с недоверенными узлами и нетипичными физическими устройствами, а также другие необычные потоки данных.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с недоверенными узлами.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте и анализируйте сетевые потоки данных, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, или необычные шаблоны трафика). По возможности отслеживайте создание соединений с недоверенными узлами и нетипичными физическими устройствами, а также другие необычные потоки данных.

Меры противодействия

ID	M1037	Название	Фильтрация сетевого трафика	Описание	От некоторых вариантов этой техники могут защитить межсетевые экраны с контролем состояния.

ID	Название	Описание
M1037	Фильтрация сетевого трафика	От некоторых вариантов этой техники могут защитить межсетевые экраны с контролем состояния.