T1557.003: Подмена данных DHCP
Злоумышленники могут перенаправлять сетевой трафик в собственные системы, подменяя трафик, передаваемый по протоколу DHCP, и выполняя роль вредоносного DHCP-сервера в целевой сети. Используя технику "злоумышленник посередине", они могут перехватывать сетевые коммуникации, в том числе учетные данные, особенно если они передаются по незащищенному незашифрованному протоколу. Эта активность может предшествовать применению таких техник, как Прослушивание сетевого трафика или Манипуляции с передаваемыми данными.
Протокол DHCP использует архитектуру "клиент — сервер" и выполняет две функции: передает параметры конфигурации сети от DHCP-сервера клиенту и распределяет сетевые адреса между клиентами. Как правило, взаимодействие между сервером и клиентом выглядит следующим образом:
Клиент отправляет широковещательное сообщение
DISCOVER
.Сервер отвечает сообщением
OFFER
, которое содержит доступный сетевой адрес.Клиент отправляет широковещательное сообщение
REQUEST
с запросом предложенного сетевого адреса.Сервер отправляет сообщение
ACK
в качестве подтверждения, и клиент получает параметры конфигурации сети.
Злоумышленники могут подменить DHCP-сервер в сети жертвы, чтобы передавать легитимным хостам вредоносные параметры конфигурации сети. Например, вредоносное ПО может выполнять роль DHCP-сервера и предоставлять целевым компьютерам DNS-серверы, подконтрольные злоумышленникам. Злоумышленники могут использовать вредоносные конфигурации сети, чтобы вмешаться в соединение для реализации техники "злоумышленник посередине" — перенаправления трафика от клиентов в собственные системы и сбора информации из клиентской сети.
Клиенты DHCPv6 могут получить сведения о конфигурации сети без назначения им IP-адреса, отправив запрос INFORMATION-REQUEST (code 11)
на групповой адрес All_DHCP_Relay_Agents_and_Servers
. В ответ на этот запрос злоумышленники могут отправить вредоносные параметры конфигурации сети через поддельный DHCP-сервер.
Помимо проведения атаки типа "злоумышленник посередине", злоумышленники могут подменить данные DHCP для истощения ресурсов распределения адресов в DHCP (техника Исчерпание ресурсов служб): для этого они генерируют множество широковещательных сообщений DISCOVER
.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
eltex: PT-CR-2340: Eltex_DHCP_Starvation: Атака на DHCP
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Monitor network traffic for suspicious/malicious behavior involving DHCP, such as changes in DNS and/or gateway parameters. Additionally, monitor network traffic for rogue DHCPv6 activity. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Monitor Windows logs (ex: EIDs 1341, 1342, 1020, and 1063) for changes to DHCP settings. These may also highlight DHCP issues such as when IP allocations are low or have run out. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Monitor network traffic for anomalies associated with known AiTM behavior. Consider monitoring for modifications to system configuration files involved in shaping network traffic flow. |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Consider filtering DHCP traffic on ports 67 and 68 to/from unknown or untrusted DHCP servers. Additionally, port security may also be enabled on layer switches. Furthermore, consider enabling DHCP snooping on layer 2 switches as it will prevent DHCP spoofing attacks and starvation attacks. Consider tracking available IP addresses through a script or a tool. Additionally, block DHCPv6 traffic and incoming router advertisements, especially if IPv6 is not commonly used in the network. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Network intrusion detection and prevention systems that can identify traffic patterns indicative of AiTM activity can be used to mitigate activity at the network level. |
---|