Introduzione della nuova copertura della piattaforma Vectra AI per Copilot e Microsoft Azure

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Tecnica di attacco

Tunneling

Il tunneling è ampiamente utilizzato per scopi di rete legittimi, come stabilire comunicazioni sicure o aggirare restrizioni geografiche. Ma è anche una tecnica utilizzata dagli aggressori per aggirare i controlli di sicurezza.

Definizione
Come funziona
Perché gli aggressori lo usano
Rilevamento
DOMANDE FREQUENTI
Definizione

Che cos'è il tunneling?

Nel mondo reale, i tunnel sono passaggi nascosti che permettono di superare barriere come montagne ed edifici. Il tunneling di rete è simile: è una tecnica per trasportare dati utilizzando protocolli non supportati. In particolare, incapsula i pacchetti di dati all'interno di altri pacchetti per aggirare le restrizioni di rete. Questo metodo consente al traffico di rete di apparire come parte di un protocollo di rete legittimo, consentendo la comunicazione tra sistemi in modi che altrimenti potrebbero essere bloccati o limitati.

Mentre all'interno delle reti esistono molti tunnel legittimi, utilizzati dalle aziende per condividere in modo sicuro i dati tra le applicazioni o i sistemi, i tunnel nascosti hanno scopi malevoli. Gli aggressori li usano per aggirare i controlli di sicurezza e mascherare il traffico normale, conducendo attività di comando e controllo e rubando dati.

Come funziona

Come funziona il tunneling

In uno scenario tipico di tunneling, i dati di un protocollo sono racchiusi nella sezione del carico utile di un altro protocollo. Lo strato esterno, o "wrapper", appare come traffico normale. Nasconde il contenuto interno non autorizzato. Questo può essere fatto con protocolli quali:

  • VPN (Virtual Private Networks) per proteggere le comunicazioni su Internet incapsulando il traffico della rete privata all'interno di pacchetti IP criptati.
  • Secure Shell (tunneling SSH) per impostare connessioni crittografate tra client e server, spesso per aggirare le restrizioni del firewall.
  • DNS, HTTPS e HTTP Tunneling, che utilizza il traffico per comunicare segretamente con server di comando e controllo esterni incapsulando un altro protocollo all'interno di sessioni legittime.
Perché gli aggressori lo usano

Perché gli aggressori usano il tunneling

Gli aggressori utilizzano il tunneling come metodo per incapsulare un protocollo di rete all'interno di un altro, consentendo loro di aggirare i controlli di sicurezza, eludere il rilevamento e mantenere una comunicazione persistente con i sistemi compromessi. Il tunneling consente agli aggressori di trasmettere furtivamente dati, comandi o malware attraverso i confini della rete che altrimenti limiterebbero o monitorerebbero tale traffico.

Ecco i motivi specifici per cui gli aggressori utilizzano le tecniche di tunneling:

Bypassare i firewall e le restrizioni di rete

  • Eludere i criteri di sicurezza: I firewall e i filtri di rete spesso consentono alcuni tipi di traffico e ne bloccano altri. Gli aggressori utilizzano il tunneling per incapsulare i protocolli vietati all'interno di quelli consentiti (ad esempio, avvolgendo il traffico dannoso all'interno di protocolli HTTP o DNS) per aggirare queste restrizioni.
  • Accesso ai servizi riservati: Il tunneling consente agli aggressori di raggiungere servizi interni non esposti alla rete esterna instradando il traffico attraverso canali consentiti.

Furtività ed evasione

  • Nascondere l'attività dannosa: Inserendo comunicazioni dannose all'interno di protocolli legittimi, gli aggressori possono evitare il rilevamento da parte dei sistemi di rilevamento delle intrusioni (IDS) e dei sistemi di prevenzione delle intrusioni (IPS).
  • Crittografia e offuscamento: Il tunneling può criptare il payload, rendendo difficile per gli strumenti di sicurezza ispezionare il contenuto del traffico.

Infiltrazione di dati

  • Furto di dati furtivo: Gli aggressori utilizzano il tunneling per esfiltrare dati sensibili da una rete compromessa senza attivare gli avvisi di sicurezza.
  • Evitare il rilevamento: Mescolando i dati esfiltrati con i normali schemi di traffico, gli aggressori riducono la probabilità di essere notati.

Mantenimento delle connessioni persistenti

  • Command and Control (C2): Il tunneling facilita i canali di comunicazione persistenti tra i sistemi compromessi e i server degli aggressori, anche in presenza di misure di sicurezza.
  • Resilienza ai cambiamenti di rete: I tunnel possono adattarsi ai cambiamenti della rete, garantendo che la comunicazione rimanga intatta.

Anonimato e prevenzione dell'attribuzione

  • Nascondere gli indirizzi IP di origine: Il tunneling può oscurare l'origine dell'attaccante, rendendo più difficile per i difensori risalire alla fonte dell'attacco.
  • Utilizzo di host intermedi: Gli aggressori instradano il loro traffico attraverso più livelli o host compromessi per complicare ulteriormente l'attribuzione.

Abuso del protocollo

  • Sfruttare i protocolli consentiti: Gli aggressori sfruttano i protocolli comunemente consentiti dai firewall (ad esempio, HTTP, HTTPS, DNS) per svolgere attività dannose.
  • Sfruttare le debolezze: Alcuni protocolli presentano debolezze intrinseche o sono meno controllati, offrendo un'opportunità agli aggressori.

Tecniche di tunneling comuni utilizzate dagli aggressori

Tunneling DNS

Il tunneling DNS prevede l'incapsulamento dei dati all'interno delle query e delle risposte DNS. Poiché il traffico DNS è essenziale per la risoluzione dei nomi di dominio ed è spesso consentito attraverso i firewall senza un controllo rigoroso, gli aggressori sfruttano questo protocollo per incorporare dati o comandi dannosi all'interno dei pacchetti DNS. Questa tecnica consente loro di eseguire l'esfiltrazione dei dati e di mantenere comunicazioni di comando e controllo con i sistemi compromessi, sfruttando il traffico DNS consentito per aggirare le misure di sicurezza senza essere scoperti.

Come funziona il tunneling DNS

Tunneling HTTP/HTTPS

Il tunneling HTTP/HTTPS consiste nell'incorporare traffico dannoso all'interno di richieste e risposte HTTP o HTTPS standard. Gli aggressori sfruttano la diffusione e l'accettazione del traffico web per nascondere le loro comunicazioni. Incapsulando i loro dati all'interno dei protocolli HTTP, possono passare attraverso i firewall che di solito consentono il traffico web senza controlli rigorosi. L'utilizzo di HTTPS aggiunge un ulteriore livello di crittografia, impedendo l'ispezione dei contenuti da parte degli strumenti di sicurezza e nascondendo le attività dannose all'interno del normale traffico web crittografato.

Come funziona il tunneling http/https

Tunneling SSH

Il tunneling SSH utilizza connessioni Secure Shell (SSH) per inoltrare in modo sicuro il traffico di rete. Gli aggressori creano tunnel SSH per trasmettere dati e comandi crittografati end-to-end, impedendo così l'analisi dei contenuti e l'intercettazione da parte degli strumenti di monitoraggio della rete. Questo metodo consente di aggirare le restrizioni di rete e di mantenere canali di comunicazione persistenti e crittografati con host compromessi, spesso sfruttando servizi SSH legittimi per non destare sospetti.

Come funziona il tunneling SSH

Tunneling ICMP

Il tunneling ICMP prevede l'incapsulamento dei dati all'interno dei pacchetti ICMP (Internet Control Message Protocol), come le richieste e le risposte di echo comunemente utilizzate per la diagnostica di rete come i comandi ping. Gli aggressori sfruttano questo aspetto incorporando i propri dati all'interno dei pacchetti ICMP, approfittando del fatto che il traffico ICMP è spesso consentito attraverso i firewall per facilitare la risoluzione dei problemi di rete. Questa tecnica consente di aggirare le regole del firewall e di trasferire i dati in modo nascosto, poiché è meno probabile che il traffico ICMP venga ispezionato da vicino.

Come funziona il tunneling ICMP

VPN e tunnel criptati

Gli aggressori creano reti private virtuali (VPN) o tunnel criptati personalizzati per incapsulare il loro traffico all'interno di canali sicuri. Stabilendo connessioni VPN utilizzando protocolli standard o metodi di crittografia personalizzati, possono trasmettere dati, comandi o malware attraverso i confini della rete mantenendo la riservatezza e l'integrità. Questo approccio rende difficile l'ispezione o l'analisi del traffico da parte degli strumenti di monitoraggio della rete, consentendo agli aggressori di mantenere l'anonimato, eludere il rilevamento e comunicare in modo persistente con i sistemi compromessi sotto l'apparenza di connessioni crittografate legittime.

Come funzionano le VPN e i tunnel criptati
Rilevamenti della piattaforma

Come individuare i tunnel nascosti

Nonostante gli sforzi degli aggressori per mimetizzarsi con tunnel nascosti, le loro comunicazioni introducono inevitabilmente sottili deviazioni nel flusso delle conversazioni di rete. È possibile identificarle con rilevamenti avanzati basati sull'intelligenza artificiale. 

Vectra AI fornisce rilevamenti specifici per i tunnel DNS, HTTPS e HTTP nascosti. Ognuno di essi impiega un'analisi altamente sofisticata dei metadati del traffico di rete per identificare sottili anomalie che indicano la presenza di tunnel nascosti. Esaminando meticolosamente i comportamenti dei protocolli, Vectra AI rileva lievi irregolarità che tradiscono la presenza di questi percorsi nascosti. Ciò consente di agire rapidamente, prima che i dati di rete vengano compromessi.

Rilevamento
Tunnel DNS nascosto
Per saperne di più
Rilevamento
Tunnel ICMP
Per saperne di più
Rilevamento
Tunnel HTTP nascosto
Per saperne di più
Rilevamento
Tunnel HTTPS nascosto
Per saperne di più
Rilevamento
Tunnel frontale multi-casa
Per saperne di più
Rilevamento
Tunnel ICMP: Cliente
Per saperne di più
Rilevamento
Tunnel ICMP: Server
Per saperne di più
Esplora tutti i rilevamenti

Proteggete la vostra rete con rilevamenti avanzati

I tunnel nascosti sono solo uno dei metodi utilizzati dagli aggressori per infiltrarsi nella vostra rete. Scoprite come i rilevamenti di Vectra AIcoprono il 90% delle tecniche di MITRE ATT&CK .

Esplora la piattaforma
Per saperne di più

DOMANDE FREQUENTI