Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1599 , T1599.001
Злоумышленники могут преодолевать сетевые границы путем компрометации сетевых устройств периметра или внутренних устройств, отвечающих за сегментацию сети. Взлом этих устройств может позволить злоумышленнику обойти ограничения на маршрутизацию трафика, которые разделяют доверенные и недоверенные сети.
Такие устройства, как маршрутизаторы и брандмауэры, могут использоваться для создания границ между доверенными и недоверенными сетями. Они достигают этого путем ограничения типов трафика для обеспечения соблюдения организационной политики в попытке снизить риск, присущий таким соединениям. Ограничение трафика может быть достигнуто путем запрета IP-адресов, портов протоколов четвертого уровня или путем глубокой проверки пакетов для идентификации приложений. Чтобы взаимодействовать с остальной сетью, эти устройства могут иметь прямую адресацию или быть прозрачными, но их режим работы никак не влияет на то, как Злоумышленник может обойти их при компрометации.
Когда Злоумышленник получает контроль над таким пограничным устройством, он может обойти его политику, чтобы беспрепятственно передавать обычно запрещенный трафик через границу доверия между двумя разделенными сетями. Получив достаточные права на устройстве, злоумышленник может перенастроить его на разрешение нужного ему трафика, что позволит ему в дальнейшем достичь таких целей, как командование и управление с помощью Multi-hop Proxy или утечка данных с помощью Traffic Duplication.Злоумышленники также могут нацелиться на внутренние устройства, отвечающие за сегментацию сети, и использовать их в сочетании с Internal Proxy для достижения тех же целей.(Цитата: Kaspersky ThreatNeedle Feb 2021) В случаях, когда пограничное устройство разделяет две отдельные организации, Злоумышленник может также способствовать латеральному перемещению в новые среды жертв.
https://attack.mitre.org/techniques/T1599
Визуализация смежных техник для T1599
| № | Техника |
|---|
