Техники: T1205 , T1205.001 , T1205.002
Злоумышленники могут подключать фильтры к сетевым сокетам для мониторинга и последующей активации черных ходов, используемых для сохранения или управления. С повышенными правами злоумышленники могут использовать такие функции, как библиотека `libpcap`, для открытия сокетов и установки фильтров, разрешающих или запрещающих прохождение определенных типов данных через сокет. Фильтр может применяться ко всему трафику, проходящему через указанный сетевой интерфейс (или ко всем интерфейсам, если они не указаны). Когда сетевой интерфейс получает пакет, соответствующий критериям фильтра, на хосте могут быть запущены дополнительные действия, например активация обратного командного интерпретатора.
Чтобы установить соединение, злоумышленник отправляет на целевой хост подготовленный пакет, соответствующий критериям установленного фильтра.(Цитата: haking9 libpcap network sniffing) Злоумышленники использовали эти фильтры сокетов для запуска установки имплантатов, проведения обратных пингов и вызова командных оболочек.Связь с этими сокет-фильтрами может также использоваться в сочетании с Protocol Tunneling.(Цитата: exatrack bpf filters passive backdoors)(Цитата: Leonardo Turla Penquin May 2020)
Фильтры могут быть установлены на любой Unix-подобной платформе с установленным `libpcap` или на хостах Windows с использованием `Winpcap`. Злоумышленники могут использовать либо `libpcap` с `pcap_setfilter`, либо функцию стандартной библиотеки `setsockopt` с опциями `SO_ATTACH_FILTER`.Поскольку сокетное соединение не активно до получения пакета, такое поведение может быть трудно обнаружить из-за отсутствия активности на хосте, низкой нагрузки на процессор и ограниченной видимости использования необработанных сокетов.
https://attack.mitre.org/techniques/T1205/002
Визуализация смежных техник для T1205.002
| № | Техника |
|---|
