T1572: Туннелирование протокола
Злоумышленники могут использовать туннелирование для сетевого взаимодействия с целевыми системами, чтобы избежать обнаружения или сетевой фильтрации и (или) получить доступ к недоступным другими способами системам. Туннелирование предполагает явную инкапсуляцию одного протокола внутри другого. Таким образом вредоносный трафик может быть замаскирован за счет смешивания с легитимным трафиком или внешнего слоя шифрования, как в случае с VPN. Туннелирование также может обеспечить маршрутизацию сетевых пакетов, которые иначе не достигли бы цели, например, SMB, RDP или другого трафика, который был бы отфильтрован сетевыми устройствами или не маршрутизировался бы через интернет.
Существуют различные способы инкапсуляции одного протокола в другой. Например, злоумышленники могут использовать туннелирование SSH (также известное как переадресация портов SSH) для передачи данных через зашифрованный туннель.
Туннелирование протокола также может применяться злоумышленниками совместно с динамическим разрешением. Запросы на разрешение адресов инфраструктуры командного сервера могут быть инкапсулированы в зашифрованные пакеты HTTPS в рамках метода, известного как "DNS поверх HTTPS" (DoH).
Злоумышленники также могут использовать туннелирование протокола в сочетании с прокси-сервером и (или) имитацией протокола в целях дополнительной маскировки коммуникаций и инфраструктуры командного сервера.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_command_and_control: PT-CR-1354: Tunnel_Process_Windows: Обнаружение туннеля во внутреннюю сеть
solaris_suspicious_network_activity: PT-CR-548: Solaris_detect_possible_Unix_reverse_tunneling_via_SSH: Обнаружен обратный SSH-туннель
solaris_suspicious_network_activity: PT-CR-549: Solaris_detect_possible_Unix_tunneling_via_SSH: Обнаружен SSH-туннель с клиентского узла на удаленный сервер
pt_nad: PT-CR-739: NAD_Tunnel_tool: PT NAD обнаружил признаки использования вредоносной утилиты для туннелирования трафика
unix_mitre_attck_command_and_control: PT-CR-1675: Unix_Tunneling_via_SSHuttle: SSH-туннель, созданный c помощью утилиты SSHuttle
unix_mitre_attck_command_and_control: PT-CR-1676: Unix_Tunnel_Process: Туннель во внутреннюю сеть
unix_mitre_attck_command_and_control: PT-CR-1677: Unix_Tunneling_via_SSH: SSH-туннель от узла до удаленного сервера
remote_work: PT-CR-428: Possible_network_connect_through_local_tunnel: Попытки подключиться к удаленному узлу через локальный туннель
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | По возможности фильтруйте сетевой трафик к недоверенным или заведомо плохим доменам и ресурсам. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретных вредоносных программ злоумышленника, могут быть использованы для снижения активности на сетевом уровне. |
---|