T1572: Туннелирование протокола
Злоумышленники могут использовать туннелирование для сетевого взаимодействия с целевыми системами, чтобы избежать обнаружения или сетевой фильтрации и (или) получить доступ к недоступным другими способами системам. Туннелирование предполагает явную инкапсуляцию одного протокола внутри другого. Таким образом вредоносный трафик может быть замаскирован за счет смешивания с легитимным трафиком или внешнего слоя шифрования, как в случае с VPN. Туннелирование также может обеспечить маршрутизацию сетевых пакетов, которые иначе не достигли бы цели, например, SMB, RDP или другого трафика, который был бы отфильтрован сетевыми устройствами или не маршрутизировался бы через интернет.
Существуют различные способы инкапсуляции одного протокола в другой. Например, злоумышленники могут использовать туннелирование SSH (также известное как переадресация портов SSH) для передачи данных через зашифрованный туннель.
Туннелирование протокола также может применяться злоумышленниками совместно с динамическим разрешением. Запросы на разрешение адресов инфраструктуры командного сервера могут быть инкапсулированы в зашифрованные пакеты HTTPS в рамках метода, известного как "DNS поверх HTTPS" (DoH).
Злоумышленники также могут использовать туннелирование протокола в сочетании с прокси-сервером и (или) имитацией протокола в целях дополнительной маскировки коммуникаций и инфраструктуры командного сервера.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_command_and_control: PT-CR-1354: Tunnel_Process_Windows: Обнаружение туннеля во внутреннюю сеть
solaris_suspicious_network_activity: PT-CR-548: Solaris_detect_possible_Unix_reverse_tunneling_via_SSH: Обнаружен обратный SSH-туннель
solaris_suspicious_network_activity: PT-CR-549: Solaris_detect_possible_Unix_tunneling_via_SSH: Обнаружен SSH-туннель с клиентского узла на удаленный сервер
pt_nad: PT-CR-739: NAD_Tunnel_tool: PT NAD обнаружил признаки использования вредоносной утилиты для туннелирования трафика
unix_mitre_attck_command_and_control: PT-CR-1675: Unix_Tunneling_via_SSHuttle: SSH-туннель, созданный c помощью утилиты SSHuttle
unix_mitre_attck_command_and_control: PT-CR-1676: Unix_Tunnel_Process: Туннель во внутреннюю сеть
unix_mitre_attck_command_and_control: PT-CR-1677: Unix_Tunneling_via_SSH: SSH-туннель от узла до удаленного сервера
remote_work: PT-CR-428: Possible_network_connect_through_local_tunnel: Попытки подключиться к удаленному узлу через локальный туннель
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с недоверенными узлами. |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | По возможности фильтруйте сетевой трафик к недоверенным или заведомо вредоносным доменам и ресурсам. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. |
---|