T1602.001: SNMP (дамп MIB)
Злоумышленники могут воспользоваться базой управляющей информации (MIB) для сбора ценной информации в сети, администрируемой через протокол SNMP.
MIB — это хранилище конфигурации, где находятся значения переменных, доступные через SNMP, в виде идентификаторов объектов (OID). Каждый OID идентифицирует переменную, которую можно прочитать или изменить. Удаленное изменение этих переменных позволяет выполнять административные задачи, например корректировать конфигурацию. С помощью SNMP администраторы могут получать широкий спектр данных об управляемых системах, например описания оборудования и информацию о физическом местоположении и установленных программных пакетах. Также MIB может содержать информацию о работе устройств, такую как текущая конфигурация, таблица маршрутизации и сведения об интерфейсе.
Злоумышленники могут использовать запросы SNMP для сбора данных из MIB напрямую с устройств, администрируемых с помощью SNMP. Таким образом можно исследовать сеть, построить ее карту и облегчить дальнейшую целевую эксплуатацию.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен распознавать и разбирать протокол SNMP. Оператор PT NAD может найти SNMP-сессии при помощи фильтра в интерфейсе.
Примеры фильтров PT NAD
- app_proto == "snmp"
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, SNMP-трафик, исходящий от неавторизованных или недоверенных узлов, сигнатурное обнаружение строк, сопоставленных с конфигурацией устройства, и аномалии в SNMP-запросах). |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений, которые обмениваются данными с недоверенными узлами или по которым передаются необычные потоки данных. По возможности анализируйте содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов прикладного уровня, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, SNMP-трафик, исходящий от неавторизованных или недоверенных узлов, сигнатурное обнаружение строк, сопоставленных с конфигурацией устройства, и аномалии в SNMP-запросах). |
|---|
Меры противодействия
| ID | M1030 | Название | Сегментация сети | Описание | Выделите трафик SNMP в отдельную сеть управления. |
|---|
| ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Настройте устройства предотвращения вторжений для обнаружения SNMP-запросов и команд из неавторизованных источников. |
|---|
| ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Применяйте расширенные ACL для блокировки неавторизованных протоколов за пределами доверенной сети. |
|---|
| ID | M1041 | Название | Шифрование важной информации | Описание | Настройте SNMPv3 на использование самого высокого уровня безопасности (authPriv). |
|---|
| ID | M1051 | Название | Обновление ПО | Описание | Обновляйте системные образы и программное обеспечение и переходите на SNMPv3. |
|---|
| ID | M1054 | Название | Изменение конфигурации ПО | Описание | Добавьте MIB-объекты в список разрешений и реализуйте представления SNMP. |
|---|