ТЕХНІЧНИЙ ОПИС

Зловмисники можуть використовувати сигналізацію трафіку для приховування відкритих портів або іншої шкідливої функціональності, що використовується для закріплення або командного управління. Сигналізація трафіку передбачає використання «магічного значення» або послідовності, які мають бути надіслані системі для запуску спеціальної відповіді, такої як відкриття закритого порту або виконання шкідливого завдання.

Це може мати форму надсилання серії пакетів із певними характеристиками перед тим, як буде відкрито порт, який зловмисник зможе використовувати для керування. Зазвичай ця серія пакетів складається зі спроб підключення до заздалегідь визначеної послідовності закритих портів (Port Knocking), але може включати незвичні прапорці (flags), специфічні рядки або інші унікальні характеристики. Після завершення послідовності відкриття порту може бути здійснено хостовим фаєрволом або реалізовано спеціальним програмним забезпеченням.

Зловмисники також можуть спілкуватися з уже відкритим портом, але служба, що слухає цей порт, відповідатиме на команди або активуватиме іншу шкідливу функціональність лише у разі передачі відповідного «магічного значення».

Спостереження за сигнальними пакетами для ініціації зв’язку може здійснюватися різними методами. Один із них — використання бібліотек libpcap для перехоплення (sniffing) потрібних пакетів. Інший метод використовує raw sockets (сирі сокети), що дозволяє шкідливому ПЗ використовувати порти, які вже відкриті іншими програмами.

На мережевих пристроях зловмисники можуть використовувати спеціально сформовані пакети для активації автентифікації мережевого пристрою для стандартних служб, таких як Telnet. Така сигналізація також може використовуватися для відкриття закритого сервісного порту або для запуску модифікації модулів шкідливих імплантів на пристрої.

Нарешті, зловмисники можуть використовувати функцію Wake-on-LAN, щоб увімкнути живлення вимкнених систем. Wake-on-LAN — це апаратна функція, яка дозволяє ввімкнути або «розбудити» вимкнену систему шляхом надсилання їй «магічного пакета». Щойно система вмикається, вона може стати ціллю для горизонтального переміщення.

Як це працює на практиці?

  • Port Knocking (T1205.001): Зловмисник «стукає» в порти (наприклад, TCP 111, UDP 222, TCP 333). Демон у системі бачить це в логах і виконує команду: iptables -A INPUT -s [IP_хакера] -p tcp —dport 22 -j ACCEPT. Порт SSH відкривається тільки для однієї конкретної адреси.
  • Magic Values (T1205.002): Бекдор «сидить» на звичайному веб-порті 80. Він ігнорує 99% запитів, але якщо в HTTP-заголовку прийде X-Magic-Header: 0xDEADBEEF, він виконає команду, передану в тілі запиту.
  • Wake-on-LAN: Використовується для атак у неробочий час. Зловмисник надсилає Magic Packet на MAC-адресу комп’ютера бухгалтера, той вмикається, і хакер заходить у систему через раніше встановлений бекдор.

Чому це важко виявити?

  • «Темний» сервер: З боку сервера немає жодних відкритих портів. Сканери на кшталт Shodan або Nmap не бачать нічого підозрілого.
  • Відсутність з’єднання: «Стук» у закриті порти не створює повноцінного TCP-з’єднання, тому багато систем моніторингу ігнорують ці спроби як звичайний фоновий шум інтернету.
  • Shared Ports: Використання raw sockets дозволяє вірусу «підслуховувати» порти, які вже легітимно використовуються (наприклад, порт 80 веб-сервера Apache), не заважаючи його роботі.

Як захиститися?

  • Deep Packet Inspection (DPI): Аналіз вмісту пакетів на предмет магічних значень у заголовках.
  • Моніторинг логів фаєрвола: Відстеження аномальних послідовностей спроб підключення до різних закритих портів від одного джерела за короткий проміжок часу.
  • Вимкнення WoL: Деактивація Wake-on-LAN у налаштуваннях BIOS/UEFI та мережевих карт, якщо ця функція не потрібна для адміністрування.
  • Port Security: Обмеження доступу на рівні комутаторів (L2), щоб запобігти надсиланню магічних пакетів всередині локальної мережі.