ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1040

术语表: /attack/glossary

网络嗅探

网络嗅探是指使用系统上的网络接口来监视或捕获通过有线或无线连接发送的信息。攻击者可以将网络接口设为混杂模式以被动地接受通过网络传输的数据,或者使用跨接端口来捕获更多的数据。

通过该技术捕获的数据可能有用户凭据,尤其是通过不安全的未加密协议发送的凭据。也可以利用名称服务解析中毒技术(例如 LLMNR / NBT-NS 中毒)将流量重定向到攻击者,从而获取网站,代理和内部系统的凭据。

网络嗅探还可以披露配置细节,例如运行服务,版本号以及后续横向移动和/或防御规避活动所需的其他网络特征(例如:IP 寻址,主机名,VLAN ID)。

缓解

确保所有无线通信都经过适当加密。 尽可能使用 Kerberos、SSL 和多因素身份验证。 监控交换机和网络的跨端口使用、ARP/DNS 中毒和路由器重新配置。 通过使用白名单 工具(如 AppLocker, 或软件限制策略 ),识别并拦截可能用于嗅探或分析网络流量的潜在恶意软件。

检测

检测导致嗅探网络流量的事件可能是最好的检测方法。 从主机级别来看,攻击者可能需要对有线网络上的其他设备进行中间人攻击,以捕获不是当前受攻击系统的交互流量。 信息流的变化可以在 enclave 网络级别检测到。 监控 ARP 欺骗和免费 ARP 广播。 检测受攻击的网络设备有些困难。 审核管理员登录情况、配置更改和设备映像以检测恶意更改。