Матрица MITRE ATT&CK

Техника на mitre.org

T1599.001: Изменение конфигурации NAT

Злоумышленники могут преодолеть границы сети, изменив конфигурацию NAT (преобразования сетевых адресов) на сетевом устройстве. Вредоносное изменение конфигурации NAT может позволить атакующим обойти ограничения маршрутизации трафика, используемые для отделения доверенных сетей от недоверенных.

Связывающие сети устройства, такие как маршрутизаторы и межсетевые экраны, могут использовать NAT для передачи пакетов между сетями. Выполняя преобразование сетевых адресов, сетевое устройство изменяет исходный и (или) целевой IP-адрес в заголовке пакета. В некоторых конфигурациях сетей преобразования сетевых адресов требуются, чтобы пакеты могли пройти через пограничное устройство. В качестве примера можно назвать среды, где во внутренних сетях используются маршрутизируемые адреса, не связанные с интернетом.

Получив контроль над пограничным устройством, злоумышленник может использовать текущие конфигурации NAT для передачи трафика между двумя разными сетями или внедрить собственную конфигурацию NAT. В сетевых конфигурациях, основанных на применении NAT, злоумышленник может обойти ограничения маршрутизации, которые обычно предотвращают доступ к системам за пограничным устройством. Если сетевая конфигурация не построена вокруг NAT, злоумышленники могут использовать NAT для маскировки своей активности, поскольку изменение адресов пакетов на пограничном устройстве усложняет защитникам мониторинг трафика.

Злоумышленники могут внести исправления в образ системы, чтобы модифицировать операционную систему сетевого устройства и внедрить собственные механизмы NAT для сокрытия своей активности.

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки.

ID	M1027	Название	Парольные политики	Описание	При создании политик паролей руководствуйтесь рекомендациями NIST .

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа .

ID	M1037	Название	Фильтрация сетевого трафика	Описание	Блокирование трафика При обнаружении скомпрометированного сетевого устройства, используемого для преодоления границы сети, блокируйте вредоносные пакеты с помощью незатронутого сетевого устройства, например межсетевого экрана или маршрутизатора, который не был скомпрометирован. Продолжайте следить за дополнительной активностью, чтобы убедиться в том, что блокирование действительно эффективно.

ID	M1043	Название	Защита от получения учетных данных	Описание	Некоторые встроенные сетевые устройства способны хранить пароли для локальных учетных записей в открытом или зашифрованном виде. Проследите, чтобы локальные пароли всегда были по возможности зашифрованы в соответствии с рекомендациями производителя .

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки.
M1027	Парольные политики	При создании политик паролей руководствуйтесь рекомендациями NIST .
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа .
M1037	Фильтрация сетевого трафика	Блокирование трафика При обнаружении скомпрометированного сетевого устройства, используемого для преодоления границы сети, блокируйте вредоносные пакеты с помощью незатронутого сетевого устройства, например межсетевого экрана или маршрутизатора, который не был скомпрометирован. Продолжайте следить за дополнительной активностью, чтобы убедиться в том, что блокирование действительно эффективно.
M1043	Защита от получения учетных данных	Некоторые встроенные сетевые устройства способны хранить пароли для локальных учетных записей в открытом или зашифрованном виде. Проследите, чтобы локальные пароли всегда были по возможности зашифрованы в соответствии с рекомендациями производителя .