Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Tecnica di attacco

Tunneling

Il tunneling è ampiamente utilizzato per scopi legittimi in rete, come stabilire comunicazioni sicure o aggirare restrizioni geografiche. Ma è anche una tecnica utilizzata dagli hacker per aggirare i controlli di sicurezza.

Definizione
Come funziona
Perché gli aggressori lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è il tunneling?

Nel mondo reale, i tunnel sono passaggi nascosti che consentono di superare ostacoli quali montagne ed edifici. Il tunneling di rete è simile: è una tecnica che consente di trasportare dati utilizzando protocolli non supportati. Più specificamente, incapsula i pacchetti di dati all'interno di altri pacchetti per aggirare le restrizioni di rete. Questo metodo consente al traffico di rete di apparire come parte di un protocollo di rete legittimo, consentendo la comunicazione tra sistemi in modi che altrimenti potrebbero essere bloccati o limitati.

Sebbene all'interno delle reti esistano molti tunnel legittimi, utilizzati dalle aziende per condividere in modo sicuro i dati tra applicazioni o sistemi, i tunnel nascosti hanno scopi dannosi. Gli aggressori li utilizzano per aggirare i controlli di sicurezza e mascherarsi come traffico normale mentre conducono attività di comando e controllo e rubano dati.

Come funziona

Come funziona il tunneling

In uno scenario tipico di tunneling, i dati provenienti da un protocollo vengono racchiusi nella sezione payload di un altro protocollo. Il livello esterno, o "wrapper", appare come traffico normale. Nasconde il contenuto interno non autorizzato. Ciò può essere fatto con protocolli quali:

  • VPN (Virtual Private Networks) per proteggere le comunicazioni su Internet incapsulando il traffico di rete privato all'interno di pacchetti IP crittografati.
  • Secure Shell (tunneling SSH) per configurare connessioni crittografate tra client e server, molto spesso per aggirare le restrizioni del firewall.
  • DNS, HTTPS e HTTP Tunneling, che utilizzano il traffico per comunicare in modo occulto con server di comando e controllo esterni incapsulando un altro protocollo all'interno di sessioni legittime.
Perché gli aggressori lo utilizzano

Perché gli aggressori utilizzano il tunneling

Gli aggressori utilizzano il tunneling come metodo per incapsulare un protocollo di rete all'interno di un altro, consentendo loro di aggirare i controlli di sicurezza, eludere il rilevamento e mantenere una comunicazione persistente con i sistemi compromessi. Il tunneling consente agli aggressori di trasmettere furtivamente dati, comandi o malware i confini di rete che altrimenti limiterebbero o monitorerebbero tale traffico.

Ecco i motivi specifici per cui gli aggressori utilizzano tecniche di tunneling:

Bypassare firewall e restrizioni di rete

  • Elusione delle politiche di sicurezza: i firewall e i filtri di rete spesso consentono determinati tipi di traffico mentre ne bloccano altri. Gli aggressori utilizzano il tunneling per incapsulare i protocolli proibiti all'interno di quelli consentiti (ad esempio, avvolgendo il traffico dannoso all'interno dei protocolli HTTP o DNS) per aggirare queste restrizioni.
  • Accesso a servizi con restrizioni: il tunneling consente agli aggressori di raggiungere servizi interni non esposti alla rete esterna instradando il traffico attraverso canali autorizzati.

Furtività ed evasione

  • Nascondere attività dannose: incorporando comunicazioni dannose all'interno di protocolli legittimi, gli aggressori possono evitare il rilevamento da parte dei sistemi di rilevamento delle intrusioni (IDS) e dei sistemi di prevenzione delle intrusioni (IPS).
  • Crittografia e offuscamento: il tunneling può crittografare il payload, rendendo difficile per gli strumenti di sicurezza ispezionare il contenuto del traffico.

Esfiltrazione dei dati

  • Furto di dati furtivo: gli aggressori utilizzano il tunneling per sottrarre dati sensibili da una rete compromessa senza attivare gli allarmi di sicurezza.
  • Evitare il rilevamento: mescolando i dati sottratti con i normali modelli di traffico, gli aggressori riducono la probabilità di essere individuati.

Mantenimento delle connessioni persistenti

  • ComunicazioneCommand and Control C2): il tunneling facilita la creazione di canali di comunicazione persistenti tra i sistemi compromessi e i server degli aggressori, anche in presenza di misure di sicurezza.
  • Resilienza ai cambiamenti di rete: i tunnel sono in grado di adattarsi ai cambiamenti di rete, garantendo che la comunicazione rimanga intatta.

Anonimato ed elusione dell'attribuzione

  • Nascondere gli indirizzi IP di origine: il tunneling può nascondere l'origine dell'attaccante, rendendo più difficile per i difensori risalire alla fonte dell'attacco.
  • Utilizzo di host intermedi: gli aggressori instradano il loro traffico attraverso più livelli o host compromessi per complicare ulteriormente l'attribuzione.

Abuso del protocollo

  • Sfruttamento dei protocolli consentiti: gli aggressori sfruttano i protocolli comunemente consentiti dai firewall (ad esempio HTTP, HTTPS, DNS) per svolgere attività dannose.
  • Sfruttare i punti deboli: alcuni protocolli presentano punti deboli intrinseci o sono meno controllati, offrendo così un'opportunità agli aggressori.

Tecniche di tunneling comunemente utilizzate dagli hacker

Tunneling DNS

Il tunneling DNS consiste nell'incapsulare i dati all'interno delle query e delle risposte DNS. Poiché il traffico DNS è essenziale per la risoluzione dei nomi di dominio e spesso è consentito attraverso i firewall senza un controllo rigoroso, gli aggressori sfruttano questo protocollo per incorporare dati o comandi dannosi all'interno dei pacchetti DNS. Questa tecnica consente loro di eseguire l'esfiltrazione dei dati e di mantenere le comunicazioni di comando e controllo con i sistemi compromessi, sfruttando il traffico DNS consentito per aggirare le misure di sicurezza senza essere rilevati.

Come funziona il tunneling DNS

Tunneling HTTP/HTTPS

Il tunneling HTTP/HTTPS comporta l'incorporamento di traffico dannoso all'interno di richieste e risposte HTTP o HTTPS standard. Gli aggressori sfruttano l'uso diffuso e l'accettazione del traffico web per nascondere le loro comunicazioni. Incapsulando i propri dati all'interno dei protocolli HTTP, possono superare i firewall che in genere consentono il traffico web senza controlli rigorosi. L'utilizzo di HTTPS aggiunge un ulteriore livello di crittografia, impedendo l'ispezione dei contenuti da parte degli strumenti di sicurezza e nascondendo le attività dannose all'interno del normale traffico web crittografato.

Come funziona il tunneling http/https

Tunneling SSH

Il tunneling SSH utilizza connessioni Secure Shell (SSH) per inoltrare in modo sicuro il traffico di rete. Gli aggressori stabiliscono tunnel SSH per trasmettere dati e comandi crittografati end-to-end, impedendo così l'analisi dei contenuti e l'intercettazione da parte degli strumenti di monitoraggio della rete. Questo metodo consente loro di aggirare le restrizioni di rete e mantenere canali di comunicazione crittografati e persistenti con host compromessi, spesso sfruttando servizi SSH legittimi per evitare di destare sospetti.

Come funziona il tunneling SSH

Tunneling ICMP

Il tunneling ICMP consiste nell'incapsulare i dati all'interno di pacchetti ICMP (Internet Control Message Protocol), come le richieste di eco e le risposte comunemente utilizzate per la diagnostica di rete, ad esempio i comandi ping. Gli aggressori sfruttano questa tecnica incorporando i propri dati all'interno dei pacchetti ICMP, approfittando del fatto che il traffico ICMP è spesso consentito dai firewall per facilitare la risoluzione dei problemi di rete. Questa tecnica consente loro di aggirare le regole dei firewall e trasferire dati in modo occulto, poiché il traffico ICMP è meno soggetto a controlli approfonditi.

Come funziona il tunneling ICMP

VPN e tunnel crittografati

Gli aggressori creano reti private virtuali (VPN) o tunnel crittografati personalizzati per incapsulare il loro traffico all'interno di canali sicuri. Stabilendo connessioni VPN utilizzando protocolli standard o metodi di crittografia personalizzati, possono trasmettere dati, comandi o malware i confini della rete, mantenendo la riservatezza e l'integrità. Questo approccio rende difficile per gli strumenti di monitoraggio della rete ispezionare o analizzare il traffico, consentendo agli aggressori di mantenere l'anonimato, eludere il rilevamento e comunicare in modo persistente con i sistemi compromessi sotto le spoglie di connessioni crittografate legittime.

Come funzionano le VPN e i tunnel crittografati
Rilevamenti della piattaforma

Come individuare tunnel nascosti

Nonostante gli sforzi degli aggressori di mimetizzarsi con tunnel nascosti, le loro comunicazioni introducono inevitabilmente sottili deviazioni nel flusso delle conversazioni di rete. È possibile identificarle con rilevamenti avanzati basati sull'intelligenza artificiale. 

Vectra AI rilevamenti specifici per tunnel DNS, HTTPS e HTTP nascosti. Ciascuno di essi impiega un'analisi altamente sofisticata dei metadati del traffico di rete per identificare sottili anomalie che indicano la presenza di tunnel nascosti. Esaminando meticolosamente i comportamenti dei protocolli, Vectra AI lievi irregolarità che tradiscono la presenza di questi percorsi segreti. Ciò consente di agire rapidamente, prima che i dati della rete vengano compromessi.

Rilevamento
Tunnel DNS nascosto
Per saperne di più
Rilevamento
Tunnel ICMP
Per saperne di più
Rilevamento
Tunnel HTTP nascosto
Per saperne di più
Rilevamento
Tunnel HTTPS nascosto
Per saperne di più
Rilevamento
Tunnel multi-home fronted
Per saperne di più
Rilevamento
Tunnel ICMP: Client
Per saperne di più
Rilevamento
Tunnel ICMP: Server
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con rilevamenti avanzati

I tunnel nascosti sono solo uno dei metodi utilizzati dagli hacker per infiltrarsi nella tua rete. Scopri come i sistemi di rilevamento Vectra AIcoprono il 90% delle MITRE ATT&CK rilevanti.

Esplora la piattaforma
Per saperne di più

Domande frequenti