Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1572
Злоумышленники могут туннелировать сетевые соединения с системой-жертвой и обратно в рамках отдельного протокола, чтобы избежать обнаружения/сетевой фильтрации и/или получить доступ к недоступным в противном случае системам. Туннелирование подразумевает явную инкапсуляцию одного протокола внутри другого. Такое поведение может скрывать вредоносный трафик, смешиваясь с существующим трафиком, и/или обеспечивать внешний уровень шифрования (подобно VPN). Туннелирование также может обеспечить маршрутизацию сетевых пакетов, которые в противном случае не достигли бы места назначения, например SMB, RDP или другого трафика, который фильтруется сетевыми устройствами или не маршрутизируется через Интернет.
Существуют различные способы инкапсуляции протокола внутри другого протокола. Например, злоумышленники могут выполнять туннелирование SSH (также известное как переадресация портов SSH), что предполагает пересылку произвольных данных по зашифрованному туннелю SSH.(Цитата: SSH Tunneling)
Туннелирование протоколов также может быть использовано злоумышленниками при Динамическом разрешении. Известные как DNS через HTTPS (DoH), запросы на разрешение инфраструктуры C2 могут быть инкапсулированы в зашифрованные пакеты HTTPS.(Цитата: BleepingComp Godlua JUL19)
Злоумышленники также могут использовать Protocol Tunneling в сочетании с Proxy и/или Protocol or Service Impersonation для дальнейшего сокрытия коммуникаций и инфраструктуры C2.
https://attack.mitre.org/techniques/T1572
Визуализация смежных техник для T1572
| № | Техника |
|---|
