T1665: Сокрытие инфраструктуры
Злоумышленники могут манипулировать сетевым трафиком, чтобы скрыть инфраструктуру своего командного сервера и избежать обнаружения. Это может быть сделано разными способами — например, путем идентификации и фильтрации трафика средств защиты. Также атакующие могут замаскировать вредоносные домены, чтобы скрыть их истинное назначение как от автоматических сканеров, так и от специалистов по безопасности. Встречаются и другие методы скрытия вредоносных артефактов, позволяющие замедлить их обнаружение и продлить время эффективной работы инфраструктуры злоумышленников, которую в противном случае можно было бы идентифицировать, заблокировать или уничтожить.
Командные сети могут работать через прокси-серверы или VPN для скрытия IP-адресов. Это позволяет злоумышленникам смешивать коммуникации с обычным сетевым трафиком и обходить политики условного доступа или ограничения безопасности. Например, злоумышленник может использовать виртуальное частное облако, чтобы подменить свой IP-адрес на тот, который лучше соответствует диапазону IP-адресов жертвы. Также этим способом атакующий потенциально может обойти меры безопасности, основанные на геолокации исходного IP-адреса.
Кроме того, злоумышленники могут фильтровать сетевой трафик, чтобы обойти защитные инструменты — например, блокируя или перенаправляя коммуникации распространенных служб реагирования на инциденты или агентов безопасности. Фильтрация трафика по IP-адресам и геолокации также может помочь избежать автоматического анализа в песочнице или затруднить исследование (см. технику Обход виртуализации или песочницы).
Скрытие инфраструктуры командного сервера также может требовать подготовки ресурсов — например, приобретения инфраструктуры или компрометации сторонней инфраструктуры. В частности, злоумышленники могут использовать для организации коммуникаций с командным сервером известные хостинг-платформы или домены — например, маркетинговых служб или сервисов сокращения ссылок, — чтобы распространять с виду безопасный контент, который затем перенаправляет жертвы на вредоносные веб-страницы или инфраструктуру при выполнении определенных условий.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD имеет ряд правил, модулей ленты активности и фильтров, которые выявляют инструменты, скрывающие активность вредоносной инфраструктуры злоумышленников. К таким инструментам относятся Proxy и VPN-серверы, а также фреймворки пост-эксплуатации, которые, чтобы избежать обнаружения сетевыми средствами защиты, мимикрируют под трафик легитимных сервисов.
Примеры правил обнаружения PT NAD
- TOOLS [PTsecurity] LocaltoNet Active Tunnel (sid 10011988)
- TOOLS [PTsecurity] gsocket client activity (sid 10009304)
- TOOLS [PTsecurity] Possible traffic proxying through webshell. TLS over HTTP (sid 10007667)
- SUSPICIOUS [PTsecurity] VPN SoftEther connection (sid 10011974)
Примеры модулей обнаружения PT NAD
- Использование Cobalt Strike
- Использование Brute Ratel
- Активность прокси-сервера SOCKS5 внутри организации
Примеры фильтров PT NAD
- app_service =="Openvp"
Способы обнаружения
ID | DS0038 | Источник и компонент данных | Доменное имя: Регистрация домена | Описание | По возможности применяйте службы (например, баз данных WHOIS с информацией о регистрации доменов), которые могут помочь в отслеживании недавно приобретенной инфраструктуры и необычных изменений в информации о лице, зарегистрировавшем домен, и (или) в данных о разрешении адресов домена, которые могут указывать на компрометацию. |
---|
ID | DS0035 | Источник и компонент данных | Скан интернета: Метаданные ответа | Описание | Для поиска артефактов, связанных с вредоносной инфраструктурой командных серверов, можно использовать интернет-сканеры. Сопоставляйте с сетевым трафиком данные и шаблоны интернет-ресурсов, полученные при сканировании, чтобы узнать больше о возможных сетях командных серверов злоумышленников. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Системы обнаружения сетевых вторжений могут выявлять трафик конкретной инфраструктуры командных серверов злоумышленника. Сопоставляйте сетевой трафик с данными и шаблонами открытых для интернета ресурсов, полученными при сканировании, чтобы узнать больше о возможных сетях командных серверов злоумышленников. |
---|
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если злоумышленники подготовили инфраструктуру (например, командный сервер), интернет-сканирование может помочь в проактивном обнаружении такой инфраструктуры. Если запросы фильтруются или блокируются, проанализировав специфические особенности этого действия, например отправленный ответ, можно узнать подробнее об этом ресурсе или его создании. |
---|