Техники: T1020 , T1020.001
Злоумышленники могут использовать зеркалирование трафика для автоматизации утечки данных через взломанную инфраструктуру. Зеркалирование трафика является встроенной функцией некоторых устройств, часто используемой для анализа сети. Например, устройства могут быть настроены на пересылку сетевого трафика в одно или несколько мест назначения для анализа сетевым анализатором или другим устройством мониторинга.(Цитата: Cisco Traffic Mirroring) (Цитата: Juniper Traffic Mirroring)
Злоумышленники могут злоупотреблять зеркалированием трафика для зеркалирования или перенаправления сетевого трафика через другую инфраструктуру, которую они контролируют.Вредоносные модификации сетевых устройств для перенаправления трафика возможны с помощью ROMMONkit или Patch System Image.(Цитата: US-CERT-TA18-106A)(Цитата: Cisco Blog Legacy Device Attacks)
Многие "облачные" среды также поддерживают зеркалирование трафика.Например, AWS Traffic Mirroring, GCP Packet Mirroring и Azure vTap позволяют пользователям определять определенные экземпляры для сбора трафика и определенные цели для отправки собранного трафика.(Цитата: AWS Traffic Mirroring)(Цитата: GCP Packet Mirroring)(Цитата: Azure Virtual Network TAP)
Злоумышленники могут использовать дублирование трафика в сочетании с Network Sniffing, Input Capture или Adversary-in-the-Middle в зависимости от целей и задач Злоумышленника.
https://attack.mitre.org/techniques/T1020/001
Визуализация смежных техник для T1020.001
| № | Техника |
|---|
