V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1205Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Сигнализация трафика

Злоумышленники могут использовать сигнализацию трафика для сокрытия открытых портов или другой вредоносной функциональности, используемой для закрепления или организации управления. Сигнализация трафика включает использование магического значения или последовательности, которые должны быть отправлены в систему для запуска специального ответа, такого как открытие закрытого порта или выполнение вредоносной задачи. Это может принимать форму отправки серии пакетов с определенными характеристиками, прежде чем порт будет открыт, который злоумышленник может использовать для организации управления. Обычно эта серия пакетов состоит из попыток подключения к предопределенной последовательности закрытых портов (т.е. Стук в порт), но может включать необычные флаги, специфические строки или другие уникальные характеристики. После завершения последовательности открытие порта может быть выполнено брандмауэром на основе узла, но также может быть реализовано пользовательским программным обеспечением. Злоумышленники также могут взаимодействовать с уже открытым портом, но служба, прослушивающая этот порт, будет отвечать на команды или запускать другую вредоносную функциональность только при передаче соответствующих магических значений. Наблюдение за сигнальными пакетами для запуска связи может осуществляться различными методами. Один из способов, первоначально реализованный Cd00r, заключается в использовании библиотек libpcap для прослушивания интересующих пакетов. Другой метод использует необработанные сокеты, что позволяет вредоносному ПО использовать порты, которые уже открыты для использования другими программами. На сетевых устройствах злоумышленники могут использовать специально созданные пакеты для включения Аутентификации сетевого устройства для стандартных служб, предлагаемых устройством, таких как telnet. Такая сигнализация также может использоваться для открытия закрытого порта службы, такого как telnet, или для запуска модификации модуля вредоносных имплантов на устройстве, добавления, удаления или изменения вредоносных возможностей. Злоумышленники могут использовать специально созданные пакеты, чтобы попытаться подключиться к одному или нескольким (открытым или закрытым) портам, но также могут попытаться подключиться к интерфейсу маршрутизатора, широковещательному и сетевому IP-адресу на одном и том же порту для достижения своих целей. Для включения этой сигнализации трафика на встроенных устройствах злоумышленники должны сначала достичь и использовать Исправление образа системы из-за монолитной природы архитектуры. Злоумышленники также могут использовать функцию Wake-on-LAN для включения выключенных систем. Wake-on-LAN — это аппаратная функция, которая позволяет включить выключенную систему, отправив ей магический пакет. После включения системы она может стать целью для горизонтального перемещения.

Тактики

Организация управленияЗакреплениеПредотвращение обнаружения

Подтехники

T1205.001
Стук в порт
T1205.002
Фильтры сокетов

Платформы

LinuxmacOSNetwork DevicesWindows

Меры защиты

M1037
Фильтрация сетевого трафика
M1042
Отключение или удаление компонентов и программ
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.