- Автор темы
- #1
Злоумышленники могут использовать туннелирование, чтобы избежать обнаружения или обеспечить доступ к системам, недоступным напрямую. Туннелирование включает в себя инкапсуляцию одного протокола в другой. Это поведение может скрывать вредоносный трафик, сливаясь с существующим трафиком и предоставлять внешний слой шифрования (аналогично VPN). Туннелирование также может обеспечить маршрутизацию сетевых пакетов, которые в противном случае не достигли бы своей предполагаемой цели, например, трафика SMB, RDP или другого, который был бы отфильтрован сетевыми устройствами.
Примеры из жизни:
• UAT-5647 (RomCom) с конца 2023 года проводит атаки на госструктуры Украины и польские организации. Злоумышленники обходят обнаружение через туннелирование трафика и использование инструментов вроде PuTTY (https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html) для связи с внешними серверами.
• Группировка Scattered Spider использует SSH (https://github.com/openssh/openssh-portable) туннелирование, для передвижения в атакуемой сети.
• TEMP.Velesused применяли зашифрованные SSH-туннели на основе PLINK (https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html) для передачи инструментов и обеспечения RDP-соединений в инфраструктуру.
• APT Chimera инкапсулировали трафик Cobalt Strike C2 (https://www.cobaltstrike.com/) в DNS и HTTPS пакеты.
• APT Ember Bear использовала ProxyChains (https://github.com/rofl0r/proxychains-ng) для туннелирования протоколов во внутренние сети.