Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1090.003 - Цепочка прокси

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1090 , T1090.001 , T1090.002 , T1090.003 , T1090.004

Злоумышленники могут объединять несколько прокси-серверов в цепочки, чтобы скрыть источник вредоносного трафика. Как правило, защитник может определить последний прокси, через который прошел трафик, прежде чем он попал в его сеть; защитник может определить все предыдущие прокси до последнего прокси, а может и не определить их. Эта техника еще больше усложняет определение первоначального источника вредоносного трафика, поскольку защитнику приходится прослеживать вредоносный трафик через несколько прокси-серверов, чтобы определить его источник.

Например, злоумышленники могут создавать или использовать сети луковой маршрутизации - такие как общедоступная сеть Tor - для передачи зашифрованного трафика C2 через скомпрометированную популяцию, позволяя общаться с любым устройством в сети. (Цитата: Луковая маршрутизация) Для маскировки своих операций злоумышленники также могут использовать сети оперативных ретрансляторов (ORB), состоящие из виртуальных частных серверов (VPS), устройств Интернета вещей (IoT), интеллектуальных устройств и отслуживших свой срок маршрутизаторов. (Цит. по: ORB Mandiant)

В случае сетевой инфраструктуры злоумышленник может использовать несколько взломанных устройств для создания многоходовой прокси-цепочки (т. е. Network Devices). Используя Patch System Image на маршрутизаторах, злоумышленники могут добавить пользовательский код на пораженные сетевые устройства, который будет реализовывать луковую маршрутизацию между этими узлами. Этот метод зависит от метода Network Boundary Bridging, позволяющего злоумышленникам пересекать границы защищенной сети по периметру Интернета и проникать в глобальную сеть организации (WAN). В качестве транспорта могут использоваться такие протоколы, как ICMP.

Аналогичным образом злоумышленники могут использовать одноранговую (P2P) и блокчейн-ориентированную инфраструктуру для реализации маршрутизации между децентрализованной сетью одноранговых сетей.(Цит. по: Троян NGLite)

https://attack.mitre.org/techniques/T1090/003

← Назад

Визуализация смежных техник для T1090.003

Отрасль:
 с подтехниками
Техника

Закрыть