T1542.005: Загрузка по TFTP

Злоумышленники могут использовать сетевую загрузку, чтобы загрузить неавторизованную операционную систему в сетевое устройство с TFTP-сервера. Загрузка по TFTP (сетевая загрузка) обычно используется сетевыми администраторами для загрузки образов системы на конфигурируемые сетевые устройства с централизованного сервера управления. Сетевая загрузка — это один из вариантов процедуры загрузки, который можно использовать для централизованного управления образами системы на устройствах.

Злоумышленники могут изменить конфигурацию сетевого устройства, предписав использовать вредоносный TFTP-сервер, который в сочетании с изменением образа системы может использоваться для загрузки модифицированного образа при запуске или перезагрузке устройства. С помощью неавторизованного образа злоумышленники могут изменять конфигурацию сетевого устройства, добавлять вредоносные функции и внедрять бэкдоры, чтобы сохранить контроль над устройством и при этом минимизировать возможность обнаружения благодаря использованию стандартных функциональных возможностей устройства. Эта техника похожа на ROMMONkit и позволяет внедрить на сетевое устройство модифицированный образ системы .

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен детектировать и разбирать протокол TFTP, который в основном используется для первоначальной загрузки файла прошивки устройством по сети.

Примеры фильтров PT NAD

  • app_proto == "tftp"

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание конфигураций сетевых устройств и образов системы, сравнивая их с известными надежными версиями, — это позволит обнаружить несанкционированные изменения в порядке загрузки системы, конфигурации запуска или работающей ОС . Для этого можно также выполнять сравнение с динамически выделяемой памятью, но это довольно сложная задача, которая может потребовать привлечения поставщика.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте запущенные команды и их аргументы через историю команд, сохраненную в самой консоли или в оперативной памяти, чтобы выявить изменения конфигурации устройства, выполненные с помощью несанкционированных или подозрительных команд.

IDDS0001Источник и компонент данныхПрошивка: Изменение прошивкиОписание

Отслеживайте изменения в данных о загрузке, включая время работы системы, загруженный образ и конфигурацию запуска, чтобы определить, соответствуют ли результаты ожидаемому поведению в рабочей среде . Отслеживайте необычные подключения или попытки подключения к устройству, в частности использующие TFTP или другие протоколы обмена файлами.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Использование систем аутентификации, авторизации и учета (AAA) ограничит действия администраторов и обеспечит историю действий пользователей для выявления несанкционированного использования и злоупотреблений. TACACS+ позволяет контролировать, какие команды разрешено использовать администраторам, с помощью настройки аутентификации и авторизации команд .

IDM1028НазваниеИзменение конфигурации ОСОписание

Следуйте передовым методам защиты устройств, разработанным производителем, чтобы отключить ненужные и неиспользуемые функции и службы, не использовать конфигурации и пароли по умолчанию, а также внедрить протоколирование и аудит для обнаружения.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для идентификации трафика определенных протоколов, таких как TFTP, могут использоваться для защиты от связанной с этим трафиком активности на сетевом уровне. Подписи часто служат для уникальных индикаторов в протоколах и могут быть основаны на специфической технике, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных конфигурациях сети.

IDM1035НазваниеОграничение доступа к ресурсам по сетиОписание

Ограничьте использование протоколов без механизмов шифрования и аутентификации. Ограничьте доступ к интерфейсам администрирования и управления из ненадежных сетевых источников.

IDM1046НазваниеПроверка целостности загрузкиОписание

Включите функции безопасной загрузки, проверяющие цифровую подпись загрузочной среды и образа системы с помощью специального физического устройства. Если проверка прошла неудачно, устройство не загрузится, предотвращая загрузку несанкционированного программного обеспечения .

IDM1047НазваниеАудитОписание

Периодически проверяйте целостность текущей конфигурации и образа системы, чтобы убедиться, что они не были изменены .