Descripción de la Tecnica
Socket Filters es una técnica utilizada por actores maliciosos para monitoriar y activar backdoors en redes. Permite a los adversarios instalar filtros en sockets de red, lo que permite controlar el tráfico que pasa por interfaces específicas o todas las interfaces. Esta acción puede ser parte de una estrategia de persistencia o comunicación con un comando y control (C2).
Como Funciona
Los adversarios pueden usar herramientas como libpcap con permisos elevados para abrir sockets y aplicar filtros. Estos filtros determinan qué tipos de datos pasan a través del socket. Al activar un filtro, los atacantes pueden permitir o bloquear cierto tráfico. Cuando una interfaz recibe un paquete que coincide con MITRE: T1205.002, se procesa el tráfico según las reglas definidas en el filtro.
Actores que la Utilizan
No hay actores específicos mencionados en el contexto proporcionado.
Detección
La detección de esta técnica implica monitorear el tráfico de red para identificar filtros no estándar en sockets. Si se detectan actividades anómalas en interfaces de red, como procesos que modifican filtros con frecuencia o permiten tráfico inusual, podría indicar la presencia de un ataque. La supervisión de comportamientos de software y la auditoría de configuraciones de red son métodos efectivos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, se recomienda:
- Monitoreo continuo: Supervisar el tráfico de red y los filtros aplicados a sockets.
- Auditoría de permisos: Limitar el acceso a herramientas como libpcap para usuarios no autorizados.
- Configuración de firewalls: Restrictir el tráfico inesperado a interfaces específicas.
- Actualización de sistemas: Mantener software y protocolos de red actualizados para corregir vulnerabilidades potenciales.