T1205.002: Фильтры для сокетов

Злоумышленники могут подключать фильтры к сетевым сокетам для мониторинга трафика и последующего запуска бэкдоров с целью закрепления в системе или организации управления. Получив повышенные привилегии, злоумышленники могут использовать такие инструменты, как библиотека libpcap, для открытия сокетов и установки фильтров, разрешающих или блокирующих передачу определенных типов данных. Фильтроваться может весь трафик, проходящий через указанный сетевой интерфейс (или через все интерфейсы, если не указан конкретный). Когда сетевой интерфейс получает пакет, соответствующий критериям фильтрации, на узле могут выполняться дополнительные действия, например запуск обратного соединения.

Чтобы установить соединение, злоумышленник отправляет на целевой узел специально подготовленный пакет, который соответствует заданным критериям фильтрации. Злоумышленники использовали такие фильтры для запуска установки вредоносных имплантов, получения обратных оповещений (ping backs) и вызова командных оболочек. Такие фильтры для сокетов могут использоваться совместно с туннелированием протоколов.

Фильтры могут использоваться на любой Unix-подобной платформе с установленной библиотекой libpcap, а также на узлах Windows с помощью Winpcap. Злоумышленники могут использовать либо библиотеку libpcap с функцией pcap_setfilter, либо стандартную функцию библиотеки setsockopt с параметром SO_ATTACH_FILTER. Поскольку соединение по сокету неактивно до момента получения пакета, обнаружить такое поведение зачастую сложно из-за отсутствия активности на узле, низкой нагрузки на ЦП и невозможности полностью отследить использование сырых сокетов.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно запущенные приложения, инициирующие соединения через сырые сокеты.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запущенные процессы, использующие сырые сокеты. Проверьте, действительно ли этим процессам требуются открытые сырые сокеты и соответствуют ли они корпоративной политике.

Меры противодействия

IDM1037НазваниеФильтрация сетевого трафикаОписание

От некоторых вариантов этой техники могут защитить межсетевые экраны с контролем состояния.