Туннелирование протокола

Злоумышленники могут туннелировать сетевые коммуникации в систему жертвы и из нее внутри отдельного протокола, чтобы избежать обнаружения/сетевой фильтрации и/или обеспечить доступ к иным образом недоступным системам. Туннелирование включает явное инкапсулирование протокола внутри другого. Такое поведение может скрывать вредоносный трафик, смешиваясь с существующим трафиком и/или обеспечивая внешний уровень шифрования (аналогично VPN). Туннелирование также может обеспечить маршрутизацию сетевых пакетов, которые в противном случае не достигли бы намеченного пункта назначения, например, SMB, RDP или другой трафик, который был бы отфильтрован сетевыми устройствами или не маршрутизировался бы через Интернет. Существуют различные способы инкапсулирования протокола внутри другого протокола. Например, злоумышленники могут выполнять SSH-туннелирование (также известное как перенаправление портов SSH), которое включает пересылку произвольных данных через зашифрованный SSH-туннель. Туннелирование протокола также может использоваться злоумышленниками во время Динамического разрешения. Известный как DNS через HTTPS (DoH), запросы на разрешение инфраструктуры C2 могут быть инкапсулированы в зашифрованные пакеты HTTPS. Злоумышленники также могут использовать Туннелирование протокола в сочетании с Прокси и/или Выдачей за протокол или сервис для дальнейшего сокрытия коммуникаций C2 и инфраструктуры.