T1542.005: Загрузка по TFTP
Злоумышленники могут использовать сетевую загрузку, чтобы загрузить неавторизованную операционную систему в сетевое устройство с TFTP-сервера. Загрузка по TFTP (сетевая загрузка) обычно используется сетевыми администраторами для загрузки образов системы на конфигурируемые сетевые устройства с централизованного сервера управления. Сетевая загрузка — это один из вариантов процедуры загрузки, который можно использовать для централизованного управления образами системы на устройствах.
Злоумышленники могут изменить конфигурацию сетевого устройства, предписав использовать вредоносный TFTP-сервер, который в сочетании с изменением образа системы может использоваться для загрузки модифицированного образа при запуске или перезагрузке устройства. С помощью неавторизованного образа злоумышленники могут изменять конфигурацию сетевого устройства, добавлять вредоносные функции и внедрять бэкдоры, чтобы сохранить контроль над устройством и при этом минимизировать возможность обнаружения благодаря использованию стандартных функциональных возможностей устройства. Эта техника похожа на ROMMONkit и позволяет внедрить на сетевое устройство модифицированный образ системы .
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен детектировать и разбирать протокол TFTP, который в основном используется для первоначальной загрузки файла прошивки устройством по сети.
Примеры фильтров PT NAD
- app_proto == "tftp"
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание конфигураций сетевых устройств и образов системы, сравнивая их с известными надежными версиями, — это позволит обнаружить несанкционированные изменения в порядке загрузки системы, конфигурации запуска или работающей ОС . Для этого можно также выполнять сравнение с динамически выделяемой памятью, но это довольно сложная задача, которая может потребовать привлечения поставщика. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте запущенные команды и их аргументы через историю команд, сохраненную в самой консоли или в оперативной памяти, чтобы выявить изменения конфигурации устройства, выполненные с помощью несанкционированных или подозрительных команд. |
---|
ID | DS0001 | Источник и компонент данных | Прошивка: Изменение прошивки | Описание | Отслеживайте изменения в данных о загрузке, включая время работы системы, загруженный образ и конфигурацию запуска, чтобы определить, соответствуют ли результаты ожидаемому поведению в рабочей среде . Отслеживайте необычные подключения или попытки подключения к устройству, в частности использующие TFTP или другие протоколы обмена файлами. |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Использование систем аутентификации, авторизации и учета (AAA) ограничит действия администраторов и обеспечит историю действий пользователей для выявления несанкционированного использования и злоупотреблений. TACACS+ позволяет контролировать, какие команды разрешено использовать администраторам, с помощью настройки аутентификации и авторизации команд . |
---|
ID | M1028 | Название | Изменение конфигурации ОС | Описание | Следуйте передовым методам защиты устройств, разработанным производителем, чтобы отключить ненужные и неиспользуемые функции и службы, не использовать конфигурации и пароли по умолчанию, а также внедрить протоколирование и аудит для обнаружения. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для идентификации трафика определенных протоколов, таких как TFTP, могут использоваться для защиты от связанной с этим трафиком активности на сетевом уровне. Подписи часто служат для уникальных индикаторов в протоколах и могут быть основаны на специфической технике, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных конфигурациях сети. |
---|
ID | M1035 | Название | Ограничение доступа к ресурсам по сети | Описание | Ограничьте использование протоколов без механизмов шифрования и аутентификации. Ограничьте доступ к интерфейсам администрирования и управления из ненадежных сетевых источников. |
---|
ID | M1046 | Название | Проверка целостности загрузки | Описание | Включите функции безопасной загрузки, проверяющие цифровую подпись загрузочной среды и образа системы с помощью специального физического устройства. Если проверка прошла неудачно, устройство не загрузится, предотвращая загрузку несанкционированного программного обеспечения . |
---|
ID | M1047 | Название | Аудит | Описание | Периодически проверяйте целостность текущей конфигурации и образа системы, чтобы убедиться, что они не были изменены . |
---|