Техника на mitre.org

T1557.003: Подмена данных DHCP

Злоумышленники могут перенаправлять сетевой трафик в собственные системы, подменяя трафик, передаваемый по протоколу DHCP, и выполняя роль вредоносного DHCP-сервера в целевой сети. Используя технику "злоумышленник посередине", они могут перехватывать сетевые коммуникации, в том числе учетные данные, особенно если они передаются по незащищенному незашифрованному протоколу. Эта активность может предшествовать применению таких техник, как Прослушивание сетевого трафика или Манипуляции с передаваемыми данными.

Протокол DHCP использует архитектуру "клиент — сервер" и выполняет две функции: передает параметры конфигурации сети от DHCP-сервера клиенту и распределяет сетевые адреса между клиентами. Как правило, взаимодействие между сервером и клиентом выглядит следующим образом:

Клиент отправляет широковещательное сообщение DISCOVER.
Сервер отвечает сообщением OFFER, которое содержит доступный сетевой адрес.
Клиент отправляет широковещательное сообщение REQUEST с запросом предложенного сетевого адреса.
Сервер отправляет сообщение ACK в качестве подтверждения, и клиент получает параметры конфигурации сети.

Злоумышленники могут подменить DHCP-сервер в сети жертвы, чтобы передавать легитимным хостам вредоносные параметры конфигурации сети. Например, вредоносное ПО может выполнять роль DHCP-сервера и предоставлять целевым компьютерам DNS-серверы, подконтрольные злоумышленникам. Злоумышленники могут использовать вредоносные конфигурации сети, чтобы вмешаться в соединение для реализации техники "злоумышленник посередине" — перенаправления трафика от клиентов в собственные системы и сбора информации из клиентской сети.

Клиенты DHCPv6 могут получить сведения о конфигурации сети без назначения им IP-адреса, отправив запрос INFORMATION-REQUEST (code 11) на групповой адрес All_DHCP_Relay_Agents_and_Servers. В ответ на этот запрос злоумышленники могут отправить вредоносные параметры конфигурации сети через поддельный DHCP-сервер.

Помимо проведения атаки типа "злоумышленник посередине", злоумышленники могут подменить данные DHCP для истощения ресурсов распределения адресов в DHCP (техника Исчерпание ресурсов служб): для этого они генерируют множество широковещательных сообщений DISCOVER.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

eltex: PT-CR-2340: Eltex_DHCP_Starvation: Атака на DHCP

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте в сетевом трафике подозрительные или вредоносные действия, связанные с DHCP, например изменение параметров DNS и (или) шлюза. Кроме того, отслеживайте в сетевом трафике несанкционированную активность DHCPv6.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте в сетевом трафике аномалии, связанные с проведением атак типа "злоумышленник посередине". Отслеживайте изменения в конфигурационных файлах системы, связанных с регулированием потока сетевого трафика.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте изменения настроек DHCP в журналах Windows (например, события с идентификаторами 1341, 1342, 1020 и 1063). Эти события могут указывать на неполадки на сервере DHCP, например на случаи, когда доступных IP-адресов мало или нет совсем.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте в сетевом трафике подозрительные или вредоносные действия, связанные с DHCP, например изменение параметров DNS и (или) шлюза. Кроме того, отслеживайте в сетевом трафике несанкционированную активность DHCPv6.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте в сетевом трафике аномалии, связанные с проведением атак типа "злоумышленник посередине". Отслеживайте изменения в конфигурационных файлах системы, связанных с регулированием потока сетевого трафика.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте изменения настроек DHCP в журналах Windows (например, события с идентификаторами 1341, 1342, 1020 и 1063). Эти события могут указывать на неполадки на сервере DHCP, например на случаи, когда доступных IP-адресов мало или нет совсем.

Меры противодействия

ID	M1037	Название	Фильтрация сетевого трафика	Описание	По возможности фильтруйте DHCP-трафик на портах 67 и 68, идущий к неизвестным и недоверенным DHCP-серверам или от них. Кроме того, на коммутаторах уровня может быть включена защита портов. Кроме того, по возможности включите функцию DHCP Snooping на коммутаторах второго уровня, поскольку это позволит предотвратить атаки типа подмены данных DHCP (DHCP Spoofing) и истощения DHCP (DHCP Starvation). По возможности отслеживайте доступные IP-адреса с помощью сценария или инструмента. Кроме того, блокируйте трафик DHCPv6 и входящие объявления маршрутизатора, особенно если IPv6 не используется в сети.

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, которые способны выявлять модели трафика, указывающие на атаки типа "злоумышленник посередине", могут использоваться для противодействия этим атакам на сетевом уровне.

ID	Название	Описание
M1037	Фильтрация сетевого трафика	По возможности фильтруйте DHCP-трафик на портах 67 и 68, идущий к неизвестным и недоверенным DHCP-серверам или от них. Кроме того, на коммутаторах уровня может быть включена защита портов. Кроме того, по возможности включите функцию DHCP Snooping на коммутаторах второго уровня, поскольку это позволит предотвратить атаки типа подмены данных DHCP (DHCP Spoofing) и истощения DHCP (DHCP Starvation). По возможности отслеживайте доступные IP-адреса с помощью сценария или инструмента. Кроме того, блокируйте трафик DHCPv6 и входящие объявления маршрутизатора, особенно если IPv6 не используется в сети.
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, которые способны выявлять модели трафика, указывающие на атаки типа "злоумышленник посередине", могут использоваться для противодействия этим атакам на сетевом уровне.