T1557: "Злоумышленник посередине"
Злоумышленники могут вмешаться в соединение между двумя или более сетевыми устройствами, используя технику "злоумышленник посередине", для последующего выполнения вредоносных действий, таких как прослушивание сетевого трафика или манипуляции с передаваемыми данными, либо проведения атак повторного воспроизведения (техника Эксплуатация уязвимостей для получения учетных данных). Используя особенности распространенных сетевых протоколов, которые могут направлять поток сетевого трафика (например, ARP, DNS, LLMNR и других), злоумышленники могут обеспечить взаимодействие целевого устройства с другими через подконтрольную им систему, чтобы собирать информацию или выполнять другие действия.
Например, манипуляции с настройками DNS жертвы могут обеспечить выполнение других вредоносных действий, таких как предотвращение доступа пользователей к легитимным сайтам или их перенаправление на другие сайты и (или) внедрение дополнительного вредоносного ПО. Злоумышленники могут манипулировать DNS и закрепляться в сети таким образом, чтобы перехватывать учетные данные пользователей, в том числе токены доступа (см. Кража токена доступа к приложению) и сессионные куки (см. Кража сессионных куки). Закреплению в сети для проведения атаки "злоумышленник посередине" может предшествовать атака "на понижение"; в этом случае злоумышленники вынуждают устройства использовать устаревший или слабо защищенный протокол связи (SSL/TLS) или алгоритм шифрования.
Они также могут вклиниваться в соединение между узлами сети для мониторинга и (или) модификации трафика (см. Манипуляции с передаваемыми данными). Злоумышленники могут использовать похожие техники для перенаправления трафика, в частности, с целью ослабления защиты и (или) проведения атаки типа сетевой отказ в обслуживании.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Способы обнаружения
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте изменения настроек DHCP в журналах Windows (например, события с ИД 1341, 1342, 1020 и 1063). Эти события могут указывать на неполадки на сервере DHCP, например на случаи, когда доступных IP-адресов мало или нет совсем. |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте в сетевом трафике подозрительные или вредоносные действия, связанные с DHCP, например, изменение параметров DNS и (или) шлюза. Кроме того, отслеживайте в сетевом трафике несанкционированную активность DHCPv6. |
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в значении DWORD "EnableMulticast" в HKLM\Software\Policies\Microsoft\Windows NT\DNSClient. Если значение равно 0, LLMNR отключен. |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевом трафике аномалии, связанные с известным действиями при проведении атак типа "злоумышленник посередине" (AiTM). Отслеживайте изменения в конфигурационных файлах системы, связанных с регулированием потока сетевого трафика. |
|---|
| ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Отслеживайте недавно созданные службы/демоны путем поиска событий с ИД 4697 и 7045 в журналах событий Windows . Разверните средство, способное обнаружить подмену данных протоколов LLMNR и NBT-NS. |
|---|
Меры противодействия
| ID | M1017 | Название | Обучение пользователей | Описание | Научите пользователей с подозрением относиться к ошибкам в сертификатах. Злоумышленники могут перехватить HTTPS-трафик через свои собственные сертификаты. Ошибки сертификатов могут возникать, когда сертификат приложения и требуемый сертификат узла не совпадают. |
|---|
| ID | M1030 | Название | Сегментация сети | Описание | Сегментация сети может использоваться для изоляции компонентов инфраструктуры, которым не требуется широкий доступ к сети. Она может защитить от атак типа "злоумышленник посередине" или по крайней мере уменьшить их масштабы. |
|---|
| ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, способные выявлять модели трафика, указывающие на активность AiTM, могут использоваться для снижения активности на сетевом уровне. |
|---|
| ID | M1035 | Название | Ограничение доступа к ресурсам по сети | Описание | Создайте статические записи ARP для сетевых устройств. Реализация статических записей ARP может быть нецелесообразной для больших сетей. |
|---|
| ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Используйте программное обеспечение безопасности на базе хоста для блокировки трафика LLMNR/NetBIOS. Включение подписи SMB может остановить атаки ретрансляции NTLMv2. |
|---|
| ID | M1041 | Название | Шифрование важной информации | Описание | Проследите, чтобы весь проводной и беспроводной трафик был зашифрован соответствующим образом. Используйте лучшие практики для протоколов аутентификации, таких как Kerberos, и проследите, чтобы веб-трафик, который может содержать учетные данные, был защищен SSL/TLS. |
|---|
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Отключите LLMNR и NetBIOS в настройках безопасности локального компьютера или в групповой политике, если они не нужны в среде . |
|---|