Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1090 , T1090.001 , T1090.002 , T1090.003 , T1090.004
Злоумышленники могут использовать внешний прокси-сервер в качестве посредника для сетевых соединений с командно-контрольным сервером, чтобы избежать прямого подключения к своей инфраструктуре. Существует множество инструментов, позволяющих перенаправлять трафик через прокси-серверы или перенаправлять порты, в том числе HTRAN, ZXProxy и ZXPortMap. (Цит. по: Trend Micro APT Attack Tools) Злоумышленники используют эти типы прокси-серверов для управления командно-административной связью, обеспечения устойчивости в случае потери соединения или для использования существующих доверенных путей связи, чтобы избежать подозрений.
Прокси-серверы внешних соединений используются для маскировки назначения трафика C2 и обычно реализуются с помощью перенаправления портов. Для этих целей могут использоваться взломанные системы вне среды жертвы, а также приобретенная инфраструктура, например облачные ресурсы или виртуальные частные серверы. Прокси-серверы могут быть выбраны с учетом низкой вероятности того, что подключение к ним со взломанной системы будет расследовано.Системы жертв будут напрямую связываться с внешним прокси-сервером через Интернет, а затем прокси-сервер будет перенаправлять сообщения на сервер C2.
https://attack.mitre.org/techniques/T1090/002
Визуализация смежных техник для T1090.002
| № | Техника |
|---|
