PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1542.005: Загрузка по TFTP

Злоумышленники могут использовать сетевую загрузку, чтобы загрузить неавторизованную операционную систему в сетевое устройство с TFTP-сервера. Загрузка по TFTP (сетевая загрузка) обычно используется сетевыми администраторами для загрузки образов системы на конфигурируемые сетевые устройства с централизованного сервера управления. Сетевая загрузка — это один из вариантов процедуры загрузки, который можно использовать для централизованного управления образами системы на устройствах.

Злоумышленники могут изменить конфигурацию сетевого устройства, предписав использовать вредоносный TFTP-сервер, который в сочетании с изменением образа системы может использоваться для загрузки модифицированного образа при запуске или перезагрузке устройства. С помощью неавторизованного образа злоумышленники могут изменять конфигурацию сетевого устройства, добавлять вредоносные функции и внедрять бэкдоры, чтобы сохранить контроль над устройством и при этом минимизировать возможность обнаружения благодаря использованию стандартных функциональных возможностей устройства. Эта техника похожа на ROMMONkit и позволяет внедрить на сетевое устройство модифицированный образ системы .

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен детектировать и разбирать протокол TFTP, который в основном используется для первоначальной загрузки файла прошивки устройством по сети.

Примеры фильтров PT NAD

  • app_proto == "tftp"

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0001Источник и компонент данныхПрошивка: Изменение прошивкиОписание

Monitor for changes to boot information including system uptime, image booted, and startup configuration to determine if results are consistent with expected behavior in the environment. Monitor unusual connections or connection attempts to the device that may specifically target TFTP or other file-sharing protocols.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Monitor for newly constructed network device configuration and system image against a known-good version to discover unauthorized changes to system boot, startup configuration, or the running OS. The same process can be accomplished through a comparison of the run-time memory, though this is non-trivial and may require assistance from the vendor.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments in command history in either the console or as part of the running memory to determine if unauthorized or suspicious commands were used to modify device configuration.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Network intrusion detection and prevention systems that use network signatures to identify traffic for specific protocols, such as TFTP, can be used to mitigate activity at the network level. Signatures are often for unique indicators within protocols and may be based on the specific technique used by a particular adversary or tool, and will likely be different across various network configurations.

IDM1028НазваниеИзменение конфигурации ОСОписание

Follow vendor device hardening best practices to disable unnecessary and unused features and services, avoid using default configurations and passwords, and introduce logging and auditing for detection.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Use of Authentication, Authorization, and Accounting (AAA) systems will limit actions administrators can perform and provide a history of user actions to detect unauthorized use and abuse. TACACS+ can keep control over which commands administrators are permitted to use through the configuration of authentication and command authorization.

IDM1035НазваниеОграничение доступа к ресурсам по сетиОписание

Restrict use of protocols without encryption or authentication mechanisms. Limit access to administrative and management interfaces from untrusted network sources.

IDM1047НазваниеАудитОписание

Periodically check the integrity of the running configuration and system image to ensure they have not been modified.

IDM1046НазваниеПроверка целостности загрузкиОписание

Enable secure boot features to validate the digital signature of the boot environment and system image using a special purpose hardware device. If the validation check fails, the device will fail to boot preventing loading of unauthorized software.