MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1572: Туннелирование протокола

Злоумышленники могут использовать туннелирование для сетевого взаимодействия с целевыми системами, чтобы избежать обнаружения или сетевой фильтрации и (или) получить доступ к недоступным другими способами системам. Туннелирование предполагает явную инкапсуляцию одного протокола внутри другого. Таким образом вредоносный трафик может быть замаскирован за счет смешивания с легитимным трафиком или внешнего слоя шифрования, как в случае с VPN. Туннелирование также может обеспечить маршрутизацию сетевых пакетов, которые иначе не достигли бы цели, например, SMB, RDP или другого трафика, который был бы отфильтрован сетевыми устройствами или не маршрутизировался бы через интернет.

Существуют различные способы инкапсуляции одного протокола в другой. Например, злоумышленники могут использовать туннелирование SSH (также известное как переадресация портов SSH) для передачи данных через зашифрованный туннель.

Туннелирование протокола также может применяться злоумышленниками совместно с динамическим разрешением. Запросы на разрешение адресов инфраструктуры командного сервера могут быть инкапсулированы в зашифрованные пакеты HTTPS в рамках метода, известного как "DNS поверх HTTPS" (DoH).

Злоумышленники также могут использовать туннелирование протокола в сочетании с прокси-сервером и (или) имитацией протокола в целях дополнительной маскировки коммуникаций и инфраструктуры командного сервера.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_command_and_control: PT-CR-1354: Tunnel_Process_Windows: Обнаружение туннеля во внутреннюю сеть
solaris_suspicious_network_activity: PT-CR-548: Solaris_detect_possible_Unix_reverse_tunneling_via_SSH: Обнаружен обратный SSH-туннель
solaris_suspicious_network_activity: PT-CR-549: Solaris_detect_possible_Unix_tunneling_via_SSH: Обнаружен SSH-туннель с клиентского узла на удаленный сервер
pt_nad: PT-CR-739: NAD_Tunnel_tool: PT NAD обнаружил признаки использования вредоносной утилиты для туннелирования трафика
unix_mitre_attck_command_and_control: PT-CR-1675: Unix_Tunneling_via_SSHuttle: SSH-туннель, созданный c помощью утилиты SSHuttle
unix_mitre_attck_command_and_control: PT-CR-1676: Unix_Tunnel_Process: Туннель во внутреннюю сеть
unix_mitre_attck_command_and_control: PT-CR-1677: Unix_Tunneling_via_SSH: SSH-туннель от узла до удаленного сервера
remote_work: PT-CR-428: Possible_network_connect_through_local_tunnel: Попытки подключиться к удаленному узлу через локальный туннель

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

IDM1037НазваниеФильтрация сетевого трафикаОписание

По возможности фильтруйте сетевой трафик к недоверенным или заведомо плохим доменам и ресурсам.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретных вредоносных программ злоумышленника, могут быть использованы для снижения активности на сетевом уровне.