Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1599 , T1599.001
Злоумышленники могут преодолевать сетевые границы, изменяя конфигурацию трансляции сетевых адресов (NAT) сетевого устройства. Вредоносные модификации NAT могут позволить злоумышленнику обойти ограничения на маршрутизацию трафика, которые в противном случае разделяют доверенные и недоверенные сети.
Сетевые устройства, такие как маршрутизаторы и брандмауэры, соединяющие несколько сетей, могут использовать NAT в процессе передачи пакетов между сетями. При выполнении NAT сетевое устройство переписывает адреса источника и/или назначения в заголовке IP-адреса. Некоторые сетевые схемы требуют NAT для передачи пакетов через пограничное устройство.Типичным примером являются среды, в которых внутренние сети используют адреса, не являющиеся маршрутизируемыми в Интернете.(Цитата: RFC1918)
Когда злоумышленник получает контроль над пограничным сетевым устройством, он может либо использовать существующие конфигурации NAT для передачи трафика между двумя разделенными сетями, либо реализовать конфигурации NAT собственной разработки. В случае сетевых конфигураций, требующих функционирования NAT, это позволяет злоумышленникам преодолеть присущие им ограничения маршрутизации, которые обычно не позволяют им получить доступ к защищенным системам за пограничным устройством. В случае сетевых схем, не требующих NAT, трансляция адресов может использоваться Злоумышленниками для сокрытия своей деятельности, поскольку изменение адресов пакетов, проходящих через пограничное устройство сети, может усложнить контроль передачи данных для защитников.
Злоумышленники могут использовать Patch System Image для изменения операционной системы сетевого устройства, применяя собственные механизмы NAT для дальнейшей маскировки своей деятельности
https://attack.mitre.org/techniques/T1599/001
Визуализация смежных техник для T1599.001
| № | Техника |
|---|
