Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1090 , T1090.001 , T1090.002 , T1090.003 , T1090.004
Злоумышленники могут использовать внутренний прокси-сервер для перенаправления командного и управляющего трафика между двумя или более системами во взломанной среде. Существует множество инструментов, позволяющих перенаправлять трафик через прокси-серверы или перенаправлять порты, включая HTRAN, ZXProxy и ZXPortMap. (Цит. по: Trend Micro APT Attack Tools) Злоумышленники используют внутренние прокси-серверы для управления командными и контрольными коммуникациями внутри взломанной среды, сокращения числа одновременных исходящих сетевых соединений, обеспечения устойчивости в случае потери соединения или для использования существующих доверенных путей связи между зараженными системами, чтобы избежать подозрений. Внутренние прокси-соединения могут использовать распространенные одноранговые (p2p) сетевые протоколы, такие как SMB, чтобы лучше вписаться в окружающую среду.
Используя взломанную внутреннюю систему в качестве прокси, Злоумышленники могут скрыть истинное назначение трафика C2, сократив при этом необходимость в многочисленных подключениях к внешним системам.
https://attack.mitre.org/techniques/T1090/001
Визуализация смежных техник для T1090.001
| № | Техника |
|---|
