Современные межсетевые экраны, блокирующие нежелательный трафик, не всегда эффективны из-за возможности обхода фильтрации злоумышленниками, уже получившими root-доступ к системе. Для организации скрытого канала управления сервером, позволяющего отправлять команды без обратной связи, используются техники, основанные на особенностях сетевого стека TCP/IP.
Первая техника заключается в «краже сокета», когда вредоносная программа создает дублирующий серверный сокет, привязанный к транспортному порту, используемому легитимным приложением с опцией SO_REUSEPORT. Благодаря этому, входящий трафик, разрешенный для легитимного приложения, становится доступным и для вредоносной программы, обходя фильтрацию межсетевого экрана. Уязвимость особенно актуальна для Linux-серверов с популярными приложениями, такими как Apache и NGINX, где опция SO_REUSEPORT часто используется для повышения производительности.
Другой метод обхода защиты связан с использованием анализаторов пакетов (снифферов), таких как tcpdump под Linux или tshark под Windows. Злоумышленник настраивает сниффер на мониторинг порта легитимного приложения (например, SSH или RDP) и извлекает из трафика «строки-команды», инициирующие определенные действия. Этот метод сложнее обнаружить, чем «кражу сокета», так как он не оставляет видимых следов в виде дополнительных сокетов.
Для защиты от «кражи сокетов» рекомендуется запретить использование опций SO_REUSEPORT и SO_REUSEADDR для серверных сокетов. Защита от снифферов подразумевает удаление анализаторов пакетов после диагностики и отслеживание использования менеджеров пакетов, а также анализ журналов легитимных приложений на предмет ошибок.
Изображение носит иллюстративный характер
Первая техника заключается в «краже сокета», когда вредоносная программа создает дублирующий серверный сокет, привязанный к транспортному порту, используемому легитимным приложением с опцией SO_REUSEPORT. Благодаря этому, входящий трафик, разрешенный для легитимного приложения, становится доступным и для вредоносной программы, обходя фильтрацию межсетевого экрана. Уязвимость особенно актуальна для Linux-серверов с популярными приложениями, такими как Apache и NGINX, где опция SO_REUSEPORT часто используется для повышения производительности.
Другой метод обхода защиты связан с использованием анализаторов пакетов (снифферов), таких как tcpdump под Linux или tshark под Windows. Злоумышленник настраивает сниффер на мониторинг порта легитимного приложения (например, SSH или RDP) и извлекает из трафика «строки-команды», инициирующие определенные действия. Этот метод сложнее обнаружить, чем «кражу сокета», так как он не оставляет видимых следов в виде дополнительных сокетов.
Для защиты от «кражи сокетов» рекомендуется запретить использование опций SO_REUSEPORT и SO_REUSEADDR для серверных сокетов. Защита от снифферов подразумевает удаление анализаторов пакетов после диагностики и отслеживание использования менеджеров пакетов, а также анализ журналов легитимных приложений на предмет ошибок.
