MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1557.003: Подмена данных DHCP

Злоумышленники могут перенаправлять сетевой трафик в собственные системы, подменяя трафик, передаваемый по протоколу DHCP, и выполняя роль вредоносного DHCP-сервера в целевой сети. Используя технику "злоумышленник посередине", они могут перехватывать сетевые коммуникации, в том числе учетные данные, особенно если они передаются по незащищенному незашифрованному протоколу. Эта активность может предшествовать применению таких техник, как Прослушивание сетевого трафика или Манипуляции с передаваемыми данными.

Протокол DHCP использует архитектуру "клиент — сервер" и выполняет две функции: передает параметры конфигурации сети от DHCP-сервера клиенту и распределяет сетевые адреса между клиентами. Как правило, взаимодействие между сервером и клиентом выглядит следующим образом:

  1. Клиент отправляет широковещательное сообщение DISCOVER.

  2. Сервер отвечает сообщением OFFER, которое содержит доступный сетевой адрес.

  3. Клиент отправляет широковещательное сообщение REQUEST с запросом предложенного сетевого адреса.

  4. Сервер отправляет сообщение ACK в качестве подтверждения, и клиент получает параметры конфигурации сети.

Злоумышленники могут подменить DHCP-сервер в сети жертвы, чтобы передавать легитимным хостам вредоносные параметры конфигурации сети. Например, вредоносное ПО может выполнять роль DHCP-сервера и предоставлять целевым компьютерам DNS-серверы, подконтрольные злоумышленникам. Злоумышленники могут использовать вредоносные конфигурации сети, чтобы вмешаться в соединение для реализации техники "злоумышленник посередине" — перенаправления трафика от клиентов в собственные системы и сбора информации из клиентской сети.

Клиенты DHCPv6 могут получить сведения о конфигурации сети без назначения им IP-адреса, отправив запрос INFORMATION-REQUEST (code 11) на групповой адрес All_DHCP_Relay_Agents_and_Servers. В ответ на этот запрос злоумышленники могут отправить вредоносные параметры конфигурации сети через поддельный DHCP-сервер.

Помимо проведения атаки типа "злоумышленник посередине", злоумышленники могут подменить данные DHCP для истощения ресурсов распределения адресов в DHCP (техника Исчерпание ресурсов служб): для этого они генерируют множество широковещательных сообщений DISCOVER.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

eltex: PT-CR-2340: Eltex_DHCP_Starvation: Атака на DHCP

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor network traffic for suspicious/malicious behavior involving DHCP, such as changes in DNS and/or gateway parameters. Additionally, monitor network traffic for rogue DHCPv6 activity.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Monitor Windows logs (ex: EIDs 1341, 1342, 1020, and 1063) for changes to DHCP settings. These may also highlight DHCP issues such as when IP allocations are low or have run out.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Monitor network traffic for anomalies associated with known AiTM behavior. Consider monitoring for modifications to system configuration files involved in shaping network traffic flow.

Меры противодействия

IDM1037НазваниеФильтрация сетевого трафикаОписание

Consider filtering DHCP traffic on ports 67 and 68 to/from unknown or untrusted DHCP servers. Additionally, port security may also be enabled on layer switches. Furthermore, consider enabling DHCP snooping on layer 2 switches as it will prevent DHCP spoofing attacks and starvation attacks. Consider tracking available IP addresses through a script or a tool.

Additionally, block DHCPv6 traffic and incoming router advertisements, especially if IPv6 is not commonly used in the network.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Network intrusion detection and prevention systems that can identify traffic patterns indicative of AiTM activity can be used to mitigate activity at the network level.