Anchor использует ICMP для коммуникаций с С2. Также Cobalt Strike может быть сконфигурирован таким образом, чтобы использовать ICMP для коммуникации с С2. Ещё есть PHOREAL, PingPull, Regin, RemSec, SombRAT, TSCookie и многие другие. Также в статье мы уже упоминали о RomCom, который также использует ICMP для связи с С2. Существует большое количество кейсов, где организации были взломаны с помощью такого ВПО, и, раз злоумышленники используют этот канал в современных кейсах, значит он работает)
Добрый день, спасибо за комментарий! Если говорить в целом про обнаружение и предотвращение вторжений, то в нашем NGFW есть правила на этот случай. Но, если решение, которым Вы пользуетесь, не располагает достаточной собственной экспертизой (обнаруживать и предотвращать попытки вредоносных коммуникаций по ICMP-протоколу), можем посоветовать следующий сценарий: 1. По умолчанию блокируете любой ICMP-трафик во внешнюю сеть. 2. В ситуациях, где сетевым инженерам требуется доступ по этому протоколу во внешнюю сеть - отменяете политику, пока они не закончат работу.
Добрый день! Спасибо за вопрос!
Anchor использует ICMP для коммуникаций с С2. Также Cobalt Strike может быть сконфигурирован таким образом, чтобы использовать ICMP для коммуникации с С2. Ещё есть PHOREAL, PingPull, Regin, RemSec, SombRAT, TSCookie и многие другие. Также в статье мы уже упоминали о RomCom, который также использует ICMP для связи с С2. Существует большое количество кейсов, где организации были взломаны с помощью такого ВПО, и, раз злоумышленники используют этот канал в современных кейсах, значит он работает)
Добрый день! Ответил вам в ЛС.
Добрый день, спасибо за комментарий! Если говорить в целом про обнаружение и предотвращение вторжений, то в нашем NGFW есть правила на этот случай. Но, если решение, которым Вы пользуетесь, не располагает достаточной собственной экспертизой (обнаруживать и предотвращать попытки вредоносных коммуникаций по ICMP-протоколу), можем посоветовать следующий сценарий:
1. По умолчанию блокируете любой ICMP-трафик во внешнюю сеть.
2. В ситуациях, где сетевым инженерам требуется доступ по этому протоколу во внешнюю сеть - отменяете политику, пока они не закончат работу.