Nouvelle couverture de la plateforme Vectra AI pour Copilot et Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Technique d'attaque

Tunnels

Les tunnels sont largement utilisés dans le cadre de réseaux légitimes, par exemple pour établir des communications sécurisées ou contourner des restrictions géographiques. Mais c'est aussi une technique utilisée par les attaquants pour contourner vos contrôles de sécurité.

Définition
Comment cela fonctionne-t-il ?
Pourquoi les attaquants l'utilisent-ils ?
Détection
Foire aux questions
Définition

Qu'est-ce que le tunneling ?

Dans le monde réel, les tunnels sont des passages cachés qui permettent de franchir des obstacles tels que des montagnes ou des bâtiments. Il s'agit d'une technique de transport de données utilisant des protocoles non pris en charge. Plus précisément, il s'agit d'encapsuler des paquets de données dans d'autres paquets afin de contourner les restrictions du réseau. Cette méthode permet au trafic réseau d'apparaître comme faisant partie d'un protocole réseau légitime, ce qui permet la communication entre les systèmes par des moyens qui pourraient autrement être bloqués ou restreints.

S'il existe de nombreux tunnels légitimes au sein des réseaux, utilisés par les entreprises pour partager des données en toute sécurité entre des applications ou des systèmes, les tunnels cachés servent des objectifs malveillants. Les attaquants les utilisent pour contourner les contrôles de sécurité et se faire passer pour du trafic normal tout en menant des activités de commande et de contrôle et en volant des données.

Comment cela fonctionne-t-il ?

Comment fonctionne le tunnelage

Dans un scénario typique de tunneling, les données d'un protocole sont incluses dans la section des données utiles d'un autre protocole. La couche extérieure, ou "enveloppe", apparaît comme un trafic normal. Elle cache le contenu interne non autorisé. Cela peut se faire avec des protocoles tels que :

  • VPN (Virtual Private Networks) pour sécuriser les communications sur l'internet en encapsulant le trafic du réseau privé dans des paquets IP cryptés.
  • Secure Shell (tunnel SSH) pour établir des connexions cryptées entre le client et le serveur, le plus souvent pour contourner les restrictions du pare-feu.
  • DNS, HTTPS et HTTP Tunneling, qui utilise le trafic pour communiquer secrètement avec des serveurs de commande et de contrôle externes en encapsulant un autre protocole dans des sessions légitimes.
Pourquoi les attaquants l'utilisent-ils ?

Pourquoi les attaquants utilisent-ils des tunnels ?

Les attaquants utilisent le tunneling comme méthode pour encapsuler un protocole réseau dans un autre, ce qui leur permet de contourner les contrôles de sécurité, d'échapper à la détection et de maintenir une communication persistante avec les systèmes compromis. Le tunneling permet aux attaquants de transmettre furtivement des données, des commandes ou le site malware à travers les frontières du réseau qui, autrement, restreindraient ou surveilleraient ce trafic.

Voici les raisons spécifiques pour lesquelles les attaquants utilisent des techniques de tunneling :

Contourner les pare-feu et les restrictions du réseau

  • Éviter les politiques de sécurité: Les pare-feu et les filtres réseau autorisent souvent certains types de trafic tout en en bloquant d'autres. Les attaquants utilisent le tunneling pour encapsuler des protocoles interdits dans des protocoles autorisés (par exemple, en enveloppant du trafic malveillant dans des protocoles HTTP ou DNS) afin de contourner ces restrictions.
  • Accès à des services restreints: Le tunneling permet aux attaquants d'accéder à des services internes qui ne sont pas exposés au réseau externe en acheminant le trafic par des canaux autorisés.

Furtivité et évasion

  • Dissimulation de l'activité malveillante: En intégrant des communications malveillantes dans des protocoles légitimes, les attaquants peuvent éviter d'être détectés par les systèmes de détection d'intrusion (IDS) et les systèmes de prévention d'intrusion (IPS).
  • Chiffrement et obscurcissement: Le tunneling peut crypter la charge utile, ce qui rend difficile l'inspection du contenu du trafic par les outils de sécurité.

Exfiltration de données

  • Vol furtif de données: Les attaquants utilisent le tunneling pour exfiltrer des données sensibles d'un réseau compromis sans déclencher d'alertes de sécurité.
  • Éviter la détection: En mélangeant les données exfiltrées avec les schémas de trafic normaux, les attaquants réduisent la probabilité d'être remarqués.

Maintien des connexions persistantes

  • Command and Control (C2): Les tunnels facilitent les canaux de communication persistants entre les systèmes compromis et les serveurs des attaquants, même en présence de mesures de sécurité.
  • Résistance aux changements de réseau: Les tunnels peuvent s'adapter aux changements de réseau, ce qui garantit que la communication reste intacte.

Anonymat et évitement de l'attribution

  • Dissimulation des adresses IP source: Le tunnelage peut masquer l'origine de l'attaquant, ce qui rend plus difficile pour les défenseurs de remonter à la source de l'attaque.
  • Utilisation d'hôtes intermédiaires: Les attaquants font passer leur trafic par plusieurs couches ou par des hôtes compromis afin de compliquer davantage l'attribution.

Abus de protocole

  • Exploitation des protocoles autorisés: Les attaquants exploitent les protocoles généralement autorisés par les pare-feu (par exemple, HTTP, HTTPS, DNS) pour mener des activités malveillantes.
  • Exploiter les faiblesses: Certains protocoles présentent des faiblesses inhérentes ou sont moins surveillés, ce qui offre une opportunité aux attaquants.

Techniques de tunnelisation couramment utilisées par les attaquants

Tunnel DNS

Le tunneling DNS consiste à encapsuler des données dans des requêtes et des réponses DNS. Comme le trafic DNS est essentiel pour la résolution des noms de domaine et qu'il est souvent autorisé à traverser les pare-feu sans examen rigoureux, les attaquants exploitent ce protocole pour intégrer des données ou des commandes malveillantes à l'intérieur des paquets DNS. Cette technique leur permet d'exfiltrer des données et de maintenir des communications de commande et de contrôle avec des systèmes compromis, en tirant parti du trafic DNS autorisé pour contourner les mesures de sécurité sans être détectés.

Comment fonctionne le tunnel DNS

Tunnel HTTP/HTTPS

Le tunnelage HTTP/HTTPS consiste à intégrer du trafic malveillant dans les requêtes et réponses HTTP ou HTTPS standard. Les attaquants profitent de l'utilisation et de l'acceptation généralisées du trafic web pour dissimuler leurs communications. En encapsulant leurs données dans les protocoles HTTP, ils peuvent franchir les pare-feu qui autorisent généralement le trafic web sans contrôle rigoureux. L'utilisation du protocole HTTPS ajoute une couche supplémentaire de cryptage, empêchant l'inspection du contenu par les outils de sécurité et dissimulant les activités malveillantes dans le trafic web crypté normal.

Comment fonctionne le tunneling http/https ?

Tunnel SSH

Le tunnel SSH utilise des connexions Secure Shell (SSH) pour acheminer le trafic réseau en toute sécurité. Les attaquants établissent des tunnels SSH pour transmettre des données et des commandes cryptées de bout en bout, empêchant ainsi l'analyse du contenu et l'interception par des outils de surveillance du réseau. Cette méthode leur permet de contourner les restrictions du réseau et de maintenir des canaux de communication cryptés et persistants avec les hôtes compromis, en exploitant souvent des services SSH légitimes pour ne pas éveiller les soupçons.

Comment fonctionne le tunnel SSH

Tunnel ICMP

Le tunneling ICMP consiste à encapsuler des données dans des paquets ICMP (Internet Control Message Protocol), tels que les demandes d'écho et les réponses couramment utilisées pour les diagnostics de réseau, comme les commandes ping. Les attaquants exploitent ce phénomène en intégrant leurs données dans les paquets ICMP, profitant du fait que le trafic ICMP est souvent autorisé par les pare-feu pour faciliter le dépannage du réseau. Cette technique leur permet de contourner les règles des pare-feux et de transférer des données secrètement, car le trafic ICMP est moins susceptible d'être inspecté de près.

Comment fonctionne le tunnel ICMP

VPN et tunnels cryptés

Les attaquants créent des réseaux privés virtuels (VPN) ou des tunnels cryptés personnalisés pour encapsuler leur trafic dans des canaux sécurisés. En établissant des connexions VPN à l'aide de protocoles standard ou de méthodes de cryptage personnalisées, ils peuvent transmettre des données, des commandes ou le site malware à travers les frontières du réseau tout en maintenant la confidentialité et l'intégrité. Cette approche rend difficile l'inspection ou l'analyse du trafic par les outils de surveillance du réseau, ce qui permet aux attaquants de conserver l'anonymat, d'échapper à la détection et de communiquer en permanence avec des systèmes compromis sous l'apparence de connexions chiffrées légitimes.

Fonctionnement des VPN et des tunnels cryptés
Détections de plates-formes

Comment détecter les tunnels cachés

Malgré les efforts des attaquants pour se fondre dans la masse grâce à des tunnels cachés, leurs communications introduisent inévitablement de subtiles déviations dans le flux des conversations du réseau. Il est possible de les identifier grâce à des détections avancées basées sur l'IA. 

Vectra AI fournit des détections spécifiques pour les tunnels DNS, HTTPS et HTTP cachés. Chacun d'entre eux utilise une analyse hautement sophistiquée des métadonnées du trafic réseau pour identifier les anomalies subtiles qui indiquent la présence de tunnels cachés. En examinant méticuleusement les comportements des protocoles, Vectra AI détecte les légères irrégularités qui trahissent la présence de ces voies secrètes. Cela vous permet d'agir rapidement, avant que les données de votre réseau ne soient compromises.

Détection
Tunnel DNS caché
En savoir plus
Détection
Tunnel ICMP
En savoir plus
Détection
Tunnel HTTP caché
En savoir plus
Détection
Tunnel HTTPS caché
En savoir plus
Détection
Tunnel à fronts multiples
En savoir plus
Détection
Tunnel ICMP : Client
En savoir plus
Détection
Tunnel ICMP : Serveur
En savoir plus
Explorer toutes les détections

Protégez votre réseau grâce à des détections avancées

Les tunnels cachés ne sont qu'une des méthodes utilisées par les attaquants pour infiltrer votre réseau. Découvrez comment les détections de Vectra AIcouvrent 90 % des techniques MITRE ATT&CK pertinentes.

Explorer la plateforme
En savoir plus

Foire aux questions