Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1205 , T1205.001 , T1205.002
Злоумышленники могут использовать сигнализацию трафика, чтобы скрыть открытые порты или другие вредоносные функции, используемые для сохранения или управления. Сигнализация трафика подразумевает использование магического значения или последовательности, которые должны быть отправлены системе, чтобы вызвать специальную реакцию, например открытие закрытого порта или выполнение вредоносной задачи. Это может выражаться в отправке серии пакетов с определенными характеристиками до открытия порта, которые Злоумышленник может использовать для управления и контроля. Обычно эта серия пакетов состоит из попыток подключения к заранее определенной последовательности закрытых портов (например, Port Knocking), но может включать необычные флаги, определенные строки или другие уникальные характеристики. После завершения последовательности открытие порта может быть выполнено брандмауэром на хосте, но также может быть реализовано пользовательским программным обеспечением.
Злоумышленники могут также взаимодействовать с уже открытым портом, но служба, прослушивающая этот порт, будет отвечать на команды или запускать другие вредоносные функции только в том случае, если ей будет передано соответствующее магическое значение (значения).
Наблюдение за сигнальными пакетами для запуска взаимодействия может осуществляться различными методами. Один из них, первоначально реализованный Cd00r (цит. по: Hartrell cd00r 2002), заключается в использовании библиотек libpcap для обнаружения соответствующих пакетов. Другой метод использует "сырые" сокеты, что позволяет вредоносному ПО использовать порты, которые уже открыты для использования другими программами.
На сетевых устройствах злоумышленники могут использовать поддельные пакеты для включения Network Device Authentication для стандартных служб, предоставляемых устройством, таких как telnet. Такие сигналы также могут использоваться для открытия закрытого порта службы, например telnet, или для запуска модификации модулей вредоносных программ, установленных на устройстве, добавляя, удаляя или изменяя вредоносные возможности. Злоумышленники могут использовать поддельные пакеты для попытки подключения к одному или нескольким (открытым или закрытым) портам, но также могут попытаться подключиться к интерфейсу маршрутизатора, широковещательной рассылке и сетевому IP-адресу на том же порту для достижения своих целей и задач.(Цитата: Cisco Synful Knock Evolution)(Цитата: Mandiant - Synful Knock)(Цитата: Cisco Blog Legacy Device Attacks) Чтобы включить этот сигнал трафика на встроенных устройствах, злоумышленники должны сначала получить и использовать Patch System Image из-за монолитной природы архитектуры.
Злоумышленники также могут использовать функцию Wake-on-LAN для включения выключенных систем. Wake-on-LAN - это аппаратная функция, которая позволяет включить или разбудить выключенную систему, отправив ей магический пакет.После включения система может стать мишенью для бокового перемещения.(Цитата: Bleeping Computer - Ryuk WoL)(Цитата: AMD Magic Packet)
https://attack.mitre.org/techniques/T1205
Визуализация смежных техник для T1205
| № | Техника |
|---|
