PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1665: Сокрытие инфраструктуры

Злоумышленники могут манипулировать сетевым трафиком, чтобы скрыть инфраструктуру своего командного сервера и избежать обнаружения. Это может быть сделано разными способами — например, путем идентификации и фильтрации трафика средств защиты. Также атакующие могут замаскировать вредоносные домены, чтобы скрыть их истинное назначение как от автоматических сканеров, так и от специалистов по безопасности. Встречаются и другие методы скрытия вредоносных артефактов, позволяющие замедлить их обнаружение и продлить время эффективной работы инфраструктуры злоумышленников, которую в противном случае можно было бы идентифицировать, заблокировать или уничтожить.

Командные сети могут работать через прокси-серверы или VPN для скрытия IP-адресов. Это позволяет злоумышленникам смешивать коммуникации с обычным сетевым трафиком и обходить политики условного доступа или ограничения безопасности. Например, злоумышленник может использовать виртуальное частное облако, чтобы подменить свой IP-адрес на тот, который лучше соответствует диапазону IP-адресов жертвы. Также этим способом атакующий потенциально может обойти меры безопасности, основанные на геолокации исходного IP-адреса.

Кроме того, злоумышленники могут фильтровать сетевой трафик, чтобы обойти защитные инструменты — например, блокируя или перенаправляя коммуникации распространенных служб реагирования на инциденты или агентов безопасности. Фильтрация трафика по IP-адресам и геолокации также может помочь избежать автоматического анализа в песочнице или затруднить исследование (см. технику Обход виртуализации или песочницы).

Скрытие инфраструктуры командного сервера также может требовать подготовки ресурсов — например, приобретения инфраструктуры или компрометации сторонней инфраструктуры. В частности, злоумышленники могут использовать для организации коммуникаций с командным сервером известные хостинг-платформы или домены — например, маркетинговых служб или сервисов сокращения ссылок, — чтобы распространять с виду безопасный контент, который затем перенаправляет жертвы на вредоносные веб-страницы или инфраструктуру при выполнении определенных условий.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD имеет ряд правил, модулей ленты активности и фильтров, которые выявляют инструменты, скрывающие активность вредоносной инфраструктуры злоумышленников. К таким инструментам относятся Proxy и VPN-серверы, а также фреймворки пост-эксплуатации, которые, чтобы избежать обнаружения сетевыми средствами защиты, мимикрируют под трафик легитимных сервисов.

Примеры правил обнаружения PT NAD

  • TOOLS [PTsecurity] LocaltoNet Active Tunnel (sid 10011988)
  • TOOLS [PTsecurity] gsocket client activity (sid 10009304)
  • TOOLS [PTsecurity] Possible traffic proxying through webshell. TLS over HTTP (sid 10007667)
  • SUSPICIOUS [PTsecurity] VPN SoftEther connection (sid 10011974)

Примеры модулей обнаружения PT NAD

  • Использование Cobalt Strike
  • Использование Brute Ratel
  • Активность прокси-сервера SOCKS5 внутри организации

Примеры фильтров PT NAD

  • app_service =="Openvp"

Способы обнаружения

IDDS0038Источник и компонент данныхДоменное имя: Регистрация доменаОписание

По возможности применяйте службы (например, баз данных WHOIS с информацией о регистрации доменов), которые могут помочь в отслеживании недавно приобретенной инфраструктуры и необычных изменений в информации о лице, зарегистрировавшем домен, и (или) в данных о разрешении адресов домена, которые могут указывать на компрометацию.

IDDS0035Источник и компонент данныхСкан интернета: Метаданные ответаОписание

Для поиска артефактов, связанных с вредоносной инфраструктурой командных серверов, можно использовать интернет-сканеры. Сопоставляйте с сетевым трафиком данные и шаблоны интернет-ресурсов, полученные при сканировании, чтобы узнать больше о возможных сетях командных серверов злоумышленников.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Системы обнаружения сетевых вторжений могут выявлять трафик конкретной инфраструктуры командных серверов злоумышленника. Сопоставляйте сетевой трафик с данными и шаблонами открытых для интернета ресурсов, полученными при сканировании, чтобы узнать больше о возможных сетях командных серверов злоумышленников.

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Если злоумышленники подготовили инфраструктуру (например, командный сервер), интернет-сканирование может помочь в проактивном обнаружении такой инфраструктуры. Если запросы фильтруются или блокируются, проанализировав специфические особенности этого действия, например отправленный ответ, можно узнать подробнее об этом ресурсе или его создании.