T1542.005: Загрузка по TFTP
Злоумышленники могут использовать сетевую загрузку, чтобы загрузить неавторизованную операционную систему в сетевое устройство с TFTP-сервера. Загрузка по TFTP (сетевая загрузка) обычно используется сетевыми администраторами для загрузки образов системы на конфигурируемые сетевые устройства с централизованного сервера управления. Сетевая загрузка — это один из вариантов процедуры загрузки, который можно использовать для централизованного управления образами системы на устройствах.
Злоумышленники могут изменить конфигурацию сетевого устройства, предписав использовать вредоносный TFTP-сервер, который в сочетании с изменением образа системы может использоваться для загрузки модифицированного образа при запуске или перезагрузке устройства. С помощью неавторизованного образа злоумышленники могут изменять конфигурацию сетевого устройства, добавлять вредоносные функции и внедрять бэкдоры, чтобы сохранить контроль над устройством и при этом минимизировать возможность обнаружения благодаря использованию стандартных функциональных возможностей устройства. Эта техника похожа на ROMMONkit и позволяет внедрить на сетевое устройство модифицированный образ системы .
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен детектировать и разбирать протокол TFTP, который в основном используется для первоначальной загрузки файла прошивки устройством по сети.
Примеры фильтров PT NAD
- app_proto == "tftp"
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0001 | Источник и компонент данных | Прошивка: Изменение прошивки | Описание | Monitor for changes to boot information including system uptime, image booted, and startup configuration to determine if results are consistent with expected behavior in the environment. Monitor unusual connections or connection attempts to the device that may specifically target TFTP or other file-sharing protocols. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Monitor for newly constructed network device configuration and system image against a known-good version to discover unauthorized changes to system boot, startup configuration, or the running OS. The same process can be accomplished through a comparison of the run-time memory, though this is non-trivial and may require assistance from the vendor. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments in command history in either the console or as part of the running memory to determine if unauthorized or suspicious commands were used to modify device configuration. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Network intrusion detection and prevention systems that use network signatures to identify traffic for specific protocols, such as TFTP, can be used to mitigate activity at the network level. Signatures are often for unique indicators within protocols and may be based on the specific technique used by a particular adversary or tool, and will likely be different across various network configurations. |
---|
ID | M1028 | Название | Изменение конфигурации ОС | Описание | Follow vendor device hardening best practices to disable unnecessary and unused features and services, avoid using default configurations and passwords, and introduce logging and auditing for detection. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Use of Authentication, Authorization, and Accounting (AAA) systems will limit actions administrators can perform and provide a history of user actions to detect unauthorized use and abuse. TACACS+ can keep control over which commands administrators are permitted to use through the configuration of authentication and command authorization. |
---|
ID | M1035 | Название | Ограничение доступа к ресурсам по сети | Описание | Restrict use of protocols without encryption or authentication mechanisms. Limit access to administrative and management interfaces from untrusted network sources. |
---|
ID | M1047 | Название | Аудит | Описание | Periodically check the integrity of the running configuration and system image to ensure they have not been modified. |
---|
ID | M1046 | Название | Проверка целостности загрузки | Описание | Enable secure boot features to validate the digital signature of the boot environment and system image using a special purpose hardware device. If the validation check fails, the device will fail to boot preventing loading of unauthorized software. |
---|