Einführung der neuen Vectra AI Plattformabdeckung für Copilot und Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Technik des Angriffs

Tunnelbau

Tunneling wird häufig für legitime Netzwerkzwecke eingesetzt, z. B. zum Aufbau einer sicheren Kommunikation oder zur Umgehung geografischer Beschränkungen. Aber es ist auch eine Technik, die Angreifer verwenden, um Ihre Sicherheitskontrollen zu umgehen.

Definition
Wie es funktioniert
Warum Angreifer sie benutzen
Erkennung
Häufig gestellte Fragen
Definition

Was ist Tunnelbau?

In der realen Welt sind Tunnel versteckte Gänge, die einen Weg durch Hindernisse wie Berge und Gebäude bieten. Netzwerk-Tunneling ist ähnlich - es ist eine Technik für den Transport von Daten mit nicht unterstützten Protokollen. Genauer gesagt werden dabei Datenpakete in andere Pakete eingekapselt, um Netzwerkbeschränkungen zu umgehen. Mit dieser Methode kann der Netzwerkverkehr so aussehen, als wäre er Teil eines legitimen Netzwerkprotokolls, was die Kommunikation zwischen Systemen auf eine Weise ermöglicht, die andernfalls blockiert oder eingeschränkt werden könnte.

Während es in Netzwerken viele legitime Tunnel gibt, die von Unternehmen für den sicheren Datenaustausch zwischen Anwendungen oder Systemen genutzt werden, dienen versteckte Tunnel bösartigen Zwecken. Angreifer nutzen sie, um Sicherheitskontrollen zu umgehen und sich als normaler Datenverkehr zu tarnen, während sie Command-and-Control-Aktivitäten durchführen und Daten stehlen.

Wie es funktioniert

Wie der Tunnelbau funktioniert

In einem typischen Tunnelszenario werden die Daten eines Protokolls in den Nutzdatenbereich eines anderen Protokolls eingeschlossen. Die äußere Schicht, der "Wrapper", erscheint als normaler Datenverkehr. Sie verbirgt den inneren, nicht autorisierten Inhalt. Dies kann mit Protokollen wie den folgenden geschehen:

  • VPN (Virtual Private Networks) zur Sicherung der Kommunikation über das Internet durch Kapselung des privaten Netzwerkverkehrs in verschlüsselten IP-Paketen.
  • Secure Shell (SSH-Tunneling) zum Aufbau verschlüsselter Verbindungen zwischen Client und Server, meist zur Umgehung von Firewall-Beschränkungen.
  • DNS-, HTTPS- und HTTP-Tunneling, das den Datenverkehr zur verdeckten Kommunikation mit externen Befehls- und Kontrollservern nutzt, indem es ein anderes Protokoll in legitime Sitzungen einkapselt.
Warum Angreifer sie benutzen

Warum Angreifer Tunneling verwenden

Angreifer verwenden Tunneling als Methode, um ein Netzwerkprotokoll in ein anderes einzukapseln, wodurch sie Sicherheitskontrollen umgehen, sich der Entdeckung entziehen und eine dauerhafte Kommunikation mit kompromittierten Systemen aufrechterhalten können. Mit Hilfe von Tunneln können Angreifer heimlich Daten, Befehle oder malware über Netzwerkgrenzen hinweg übertragen, die diesen Datenverkehr sonst einschränken oder überwachen würden.

Hier sind die spezifischen Gründe, warum Angreifer Tunneling-Techniken verwenden:

Umgehung von Firewalls und Netzwerkbeschränkungen

  • Umgehen von Sicherheitsrichtlinien: Firewalls und Netzwerkfilter lassen oft bestimmte Arten von Datenverkehr zu, während andere blockiert werden. Angreifer nutzen Tunneling, um verbotene Protokolle in erlaubte zu kapseln (z. B. indem sie bösartigen Datenverkehr in HTTP- oder DNS-Protokolle verpacken), um diese Einschränkungen zu umgehen.
  • Zugriff auf eingeschränkte Dienste: Mit Hilfe von Tunneln können Angreifer auf interne Dienste zugreifen, die für das externe Netzwerk nicht zugänglich sind, indem sie den Datenverkehr durch zulässige Kanäle leiten.

Verstohlenheit und Ausweichen

  • Verstecken bösartiger Aktivitäten: Durch die Einbettung bösartiger Kommunikation in legitime Protokolle können Angreifer die Erkennung durch Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) vermeiden.
  • Verschlüsselung und Verschleierung: Beim Tunneling kann die Nutzlast verschlüsselt werden, so dass es für Sicherheitstools schwierig ist, den Inhalt des Datenverkehrs zu überprüfen.

Exfiltration von Daten

  • Heimlicher Datendiebstahl: Angreifer nutzen Tunneling, um sensible Daten aus einem kompromittierten Netzwerk zu exfiltrieren, ohne Sicherheitswarnungen auszulösen.
  • Vermeidung von Entdeckung: Indem sie exfiltrierte Daten mit normalen Verkehrsmustern vermischen, verringern Angreifer die Wahrscheinlichkeit, entdeckt zu werden.

Aufrechterhaltung von dauerhaften Verbindungen

  • Command and Control (C2) Kommunikation: Tunneling ermöglicht dauerhafte Kommunikationskanäle zwischen kompromittierten Systemen und den Servern der Angreifer, selbst bei Vorhandensein von Sicherheitsmaßnahmen.
  • Widerstandsfähigkeit gegenüber Netzveränderungen: Tunnel können sich an Netzveränderungen anpassen und gewährleisten, dass die Kommunikation intakt bleibt.

Anonymität und Vermeidung von Zuschreibungen

  • Verbergen von Quell-IP-Adressen: Durch das Tunneln kann der Ursprung des Angreifers verschleiert werden, was es den Verteidigern erschwert, den Angriff bis zu seiner Quelle zurückzuverfolgen.
  • Verwendung von Zwischenhosts: Angreifer leiten ihren Datenverkehr durch mehrere Schichten oder kompromittierte Hosts, um die Zuordnung weiter zu erschweren.

Missbrauch des Protokolls

  • Ausnutzung erlaubter Protokolle: Angreifer nutzen Protokolle aus, die in der Regel durch Firewalls zugelassen sind (z. B. HTTP, HTTPS, DNS), um bösartige Aktivitäten auszuführen.
  • Ausnutzung von Schwachstellen: Einige Protokolle haben inhärente Schwachstellen oder werden weniger genau geprüft, was Angreifern eine Chance bietet.

Von Angreifern häufig verwendete Tunneling-Techniken

DNS-Tunneling

Beim DNS-Tunneling werden Daten in DNS-Anfragen und -Antworten eingekapselt. Da DNS-Verkehr für die Auflösung von Domänennamen unerlässlich ist und oft ohne strenge Prüfung durch Firewalls zugelassen wird, nutzen Angreifer dieses Protokoll aus, um bösartige Daten oder Befehle in DNS-Pakete einzubetten. Diese Technik ermöglicht es ihnen, Daten zu exfiltrieren und die Befehls- und Kontrollkommunikation mit kompromittierten Systemen aufrechtzuerhalten, indem sie den erlaubten DNS-Verkehr nutzen, um Sicherheitsmaßnahmen unentdeckt zu umgehen.

So funktioniert DNS-Tunneling

HTTP/HTTPS-Tunneling

Beim HTTP/HTTPS-Tunneling wird schädlicher Datenverkehr in standardmäßige HTTP- oder HTTPS-Anfragen und -Antworten eingebettet. Angreifer machen sich die weite Verbreitung und Akzeptanz des Web-Datenverkehrs zunutze, um ihre Kommunikation zu verschleiern. Indem sie ihre Daten in HTTP-Protokolle einkapseln, können sie Firewalls passieren, die normalerweise Webverkehr ohne strenge Prüfungen zulassen. Die Verwendung von HTTPS fügt eine zusätzliche Verschlüsselungsebene hinzu, die eine Überprüfung der Inhalte durch Sicherheitstools verhindert und bösartige Aktivitäten im normalen verschlüsselten Webverkehr verbirgt.

Wie http/https-Tunneling funktioniert

SSH-Tunneling

Beim SSH-Tunneling werden Secure Shell (SSH)-Verbindungen verwendet, um den Netzwerkverkehr sicher weiterzuleiten. Angreifer richten SSH-Tunnel ein, um Daten und Befehle Ende-zu-Ende verschlüsselt zu übertragen und so eine Inhaltsanalyse und ein Abfangen durch Netzwerküberwachungs-Tools zu verhindern. Diese Methode ermöglicht es ihnen, Netzwerkbeschränkungen zu umgehen und dauerhafte, verschlüsselte Kommunikationskanäle mit kompromittierten Hosts aufrechtzuerhalten, wobei sie häufig legitime SSH-Dienste nutzen, um keinen Verdacht zu erregen.

Wie SSH-Tunneling funktioniert

ICMP-Tunneling

Beim ICMP-Tunneling werden Daten in ICMP-Pakete (Internet Control Message Protocol) eingekapselt, z. B. Echo-Anfragen und -Antworten, die üblicherweise für Netzwerkdiagnosen wie Ping-Befehle verwendet werden. Angreifer nutzen dies aus, indem sie ihre Daten in ICMP-Pakete einbetten und die Tatsache ausnutzen, dass ICMP-Verkehr häufig durch Firewalls hindurch zugelassen wird, um die Fehlersuche im Netzwerk zu erleichtern. Diese Technik ermöglicht es ihnen, Firewall-Regeln zu umgehen und Daten verdeckt zu übertragen, da ICMP-Verkehr seltener genau inspiziert wird.

Wie ICMP-Tunneling funktioniert

VPN und verschlüsselte Tunnels

Angreifer erstellen virtuelle private Netzwerke (VPNs) oder benutzerdefinierte verschlüsselte Tunnel, um ihren Datenverkehr innerhalb sicherer Kanäle zu kapseln. Durch den Aufbau von VPN-Verbindungen unter Verwendung von Standardprotokollen oder benutzerdefinierten Verschlüsselungsmethoden können sie Daten, Befehle oder malware über Netzwerkgrenzen hinweg übertragen und dabei Vertraulichkeit und Integrität wahren. Dieser Ansatz erschwert es Netzwerküberwachungs-Tools, den Datenverkehr zu inspizieren oder zu analysieren, so dass Angreifer ihre Anonymität wahren, sich der Entdeckung entziehen und unter dem Deckmantel legitimer verschlüsselter Verbindungen dauerhaft mit kompromittierten Systemen kommunizieren können.

Funktionsweise von VPN und verschlüsselten Tunneln
Plattform-Detektionen

Wie man versteckte Tunnel aufspürt

Trotz der Bemühungen der Angreifer, sich mit versteckten Tunneln zu tarnen, führt ihre Kommunikation unweigerlich zu subtilen Abweichungen im Fluss der Netzwerkgespräche. Es ist möglich, diese mit fortschrittlichen KI-gesteuerten Erkennungsfunktionen zu identifizieren. 

Vectra AI bietet Erkennungsfunktionen speziell für versteckte DNS-, HTTPS- und HTTP-Tunnel. Jedes dieser Programme setzt eine hochentwickelte Analyse der Metadaten des Netzwerkverkehrs ein, um subtile Anomalien zu erkennen, die auf das Vorhandensein versteckter Tunnel hinweisen. Durch die sorgfältige Untersuchung des Protokollverhaltens erkennt Vectra AI leichte Unregelmäßigkeiten, die das Vorhandensein dieser verborgenen Pfade verraten. So können Sie schnell handeln, bevor Ihre Netzwerkdaten gefährdet sind.

Erkennung
Versteckter DNS-Tunnel
Mehr erfahren
Erkennung
ICMP-Tunnel
Mehr erfahren
Erkennung
Versteckter HTTP-Tunnel
Mehr erfahren
Erkennung
Versteckter HTTPS-Tunnel
Mehr erfahren
Erkennung
Tunnel mit mehreren Häusern an der Fassade
Mehr erfahren
Erkennung
ICMP-Tunnel: Client
Mehr erfahren
Erkennung
ICMP-Tunnel: Server
Mehr erfahren
Alle Entdeckungen erforschen

Schützen Sie Ihr Netzwerk mit erweiterten Erkennungsfunktionen

Versteckte Tunnel sind nur eine Methode, mit der Angreifer Ihr Netzwerk infiltrieren. Sehen Sie, wie die Erkennungsfunktionen von Vectra AI90 % der relevanten Techniken abdecken MITRE ATT&CK .

Erkunden Sie die Plattform
Mehr erfahren

Häufig gestellte Fragen