Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1040 - Сетевой сниффинг

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1040

Злоумышленники могут пассивно прослушивать сетевой трафик для получения информации об окружении, включая передаваемые по сети материалы для аутентификации. Сетевой сниффинг - это использование сетевого интерфейса системы для мониторинга или перехвата информации, передаваемой по проводному или беспроводному соединению. Злоумышленник может перевести сетевой интерфейс в беспорядочный режим для пассивного доступа к данным, передаваемым по сети, или использовать разветвленные порты для перехвата большего объема данных.

Данные, перехваченные с помощью этой техники, могут включать учетные данные пользователя, особенно отправленные по небезопасному, незашифрованному протоколу. Техники отравления разрешения служб имен, такие как LLMNR/NBT-NS Poisoning and SMB Relay, также могут использоваться для захвата учетных данных веб-сайтов, прокси-серверов и внутренних систем путем перенаправления трафика Злоумышленнику.

Сетевой сниффинг может раскрыть детали конфигурации, такие как запущенные службы, номера версий и другие сетевые характеристики (например, IP-адреса, имена хостов, идентификаторы VLAN), необходимые для последующих действий Lateral Movement и/или Defense Evasion. Вероятно, Злоумышленники также могут использовать сетевой сниффинг во время Adversary-in-the-Middle (AiTM) для пассивного получения дополнительных знаний о среде.

В "облачных" средах злоумышленники все еще могут использовать сервисы зеркалирования трафика для прослушивания сетевого трафика виртуальных машин. Например, AWS Traffic Mirroring, GCP Packet Mirroring и Azure vTap позволяют пользователям определять определенные экземпляры для сбора трафика и определенные цели для отправки собранного трафика.(Цитата: AWS Traffic Mirroring)(Цитата: GCP Packet Mirroring)(Цитата: Azure Virtual Network TAP) Часто большая часть этого трафика будет в открытом виде из-за использования завершения TLS на уровне балансировщика нагрузки для снижения нагрузки на шифрование и расшифровку трафика.(Цитата: Rhino Security Labs AWS VPC Traffic Mirroring) (Цитата: SpecterOps AWS Traffic Mirroring) Затем Злоумышленник может использовать такие техники эксфильтрации, как Transfer Data to Cloud Account, чтобы получить доступ к прослушанному трафику.(Цитата: Rhino Security Labs AWS VPC Traffic Mirroring)

На сетевых устройствах злоумышленники могут осуществлять перехват сети с помощью команд Network Device CLI, таких как `monitor capture`.(Цитата: US-CERT-TA18-106A)(Цитата: capture_embedded_packet_on_software)

https://attack.mitre.org/techniques/T1040

← Назад

Визуализация смежных техник для T1040

Отрасль:
 с подтехниками
Техника

Закрыть