Протокол не прикладного уровня

Злоумышленники могут использовать протокол не прикладного уровня OSI для связи между хостом и сервером C2 или между зараженными хостами в сети. Список возможных протоколов обширен. Конкретные примеры включают использование протоколов сетевого уровня, таких как протокол управляющих сообщений Интернета (ICMP), протоколов транспортного уровня, таких как протокол пользовательских датаграмм (UDP), протоколов сеансового уровня, таких как Socket Secure (SOCKS), а также перенаправленных/туннелированных протоколов, таких как Serial over LAN (SOL). Один из примеров — это связь ICMP между хостами. Поскольку ICMP является частью набора интернет-протоколов, он должен быть реализован всеми IP-совместимыми хостами. Однако он не так часто отслеживается, как другие интернет-протоколы, такие как TCP или UDP, и может использоваться злоумышленниками для скрытия коммуникаций. В средах ESXi злоумышленники могут использовать интерфейс связи виртуальных машин (VMCI) для связи между гостевыми виртуальными машинами и хостом ESXi. Этот трафик похож на связь клиент-сервер в традиционных сетевых сокетах, но локализован на физической машине, на которой работает хост ESXi, что означает, что он не проходит через внешние сети (маршрутизаторы, коммутаторы). Это приводит к коммуникациям, которые невидимы для внешнего мониторинга и стандартных сетевых инструментов, таких как tcpdump, netstat, nmap и Wireshark. Добавив бэкдор VMCI на скомпрометированный хост ESXi, злоумышленники могут постоянно восстанавливать доступ из любой гостевой виртуальной машины к бэкдору скомпрометированного хоста ESXi, независимо от сегментации сети или действующих правил брандмауэра.