トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

一般的に利用されるポートの悪用

Last-modified: 2019-10-28 (月) 10:36:00
Top/一般的に利用されるポートの悪用

設定対策

一般的に利用されるポートの悪用

戦術

外部からの指令統制

対象OS

  • Linux
  • Windows
  • macOS

必要なアクセス許可

  • User

概説

攻撃者は、電子メールやWebへの接続に一般的に使用されるポートを介して通信し、ファイアウォールまたはネットワーク検出システムをバイパスし、通常のネットワークアクティビティと融合して、より詳細な検査を回避します。次のような一般的に開いているポートを使用する場合があります。(これら以外のポートがユーザーによって利用されている可能性に留意してください。)

  • TCP/UDP:20 (FTP)
  • TCP/UDP:21 (FTP)
  • TCP:25(SMTP)
  • TCP/UDP:53(DNS)
  • TCP:80(HTTP)
  • TCP:443(HTTPS)
  • TCP:465 (SMTPs)
  • TCP:587 (SMTPs)
  • TCP:993 (IMAP4s)
  • TCP:8080 (HTPP)

ポートに関連付けられたプロトコルまたは完全に異なるプロトコルを使用する場合があります。

拠点内で内部的に発生する接続(プロキシまたはピボットノードと他のノード間の接続など)の一般的なポートの例は次のとおりです。

  • TCP/UDP:22(SSH)
  • TCP/UDP:135(RPC)
  • TCP/UDP:3389(RDP)

攻撃評価

戦術分類119 ValuePen Value
初期侵入33

119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

MITRE 緩和策

ネットワーク侵入防止

ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。

ネットワークセグメンテーション

特定のネットワークセグメントに不要なネットワークプロトコルに関連付けられている共通ポートを使用して、内部および外部ファイアウォールを構成してトラフィックをブロックします。

Windows 10 STIG

V-82145 拡張診断データが有効になっている場合、Windowsアナリティクスをサポートするために最低限必要なものに制限する必要があります。
V-63383 システムにシンプルTCP/IPサービスをインストールしないでください。
V-63381 システムに簡易ネットワーク管理プロトコル(SNMP)をインストールしないでください。
V-63385 Telnetクライアントをシステムにインストールしないでください。
V-63389 TFTPクライアントをシステムにインストールしないでください。

Windows Server 2016 STIG

V-73297 TFTPクライアントをインストールしないでください。
V-73295 Telnetクライアントをインストールしないでください。
V-73291 Peer Name Resolution Protocolをインストールしないでください。
V-73293 シンプルTCP/IPサービスはインストールしないでください。
V-73287 FAXサーバーの役割をインストールしないでください。
V-73289 必要でない限り、Microsoft FTPサービスをインストールしないでください。