OpenVPN и OpenVPN Access Server: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1239	Изменение конфигурации OpenVPN Access Server	Атакующий может попытаться изменить конфигурационный файл OpenVPN Access Server с целью отключения логирования, изменения параметров аутентификации, маршрутизации или управления подключениями пользователей. Подобные изменения могут привести к скрытию его действий, снижению уровня безопасности и затруднению обнаружения подозрительной активности. Данное правило выявляет попытки изменения файла конфигурации `as.conf`.	Defense Evasion (TA0005) Impair Defenses (T1562)
RV-D-1242	Доступ к файлу с ключами и сертификатами OpenVPN	Данное правило направлено на защиту конфиденциальных файлов OpenVPN, содержащих ключи и сертификаты, которые могут быть использованы атакующими для проведения атак типа Man-in-the-Middle (MitM), расшифровки TLS-пакетов или создания поддельных авторизационных токенов. При получении доступа к этим файлам атакующий может подписывать свои собственные сертификаты и выдать себя за доверенное соединение, что критично для безопасности VPN-сети. При срабатывании правила необходимо уточнить у пользователя легитимность активности. Важно учитывать контекст события, например, запуск команд копирования в рамках резервного копирования или административных задач. Если обращение к файлу происходит в нестандартное время, с необычного хоста или от учетной записи, не связанной с обслуживанием OpenVPN, это может указывать на попытку компрометации.	Resource Development (TA0042) Collection (TA0009) Data Staged (T1074) Develop Capabilities (T1587) Digital Certificates (T1587.003) Obtain Capabilities (T1588) Digital Certificates (T1588.004)
RV-D-1316	Подбор пароля клиента OpenVPN	Множество неудачных попыток аутентификации OpenVPN-клиента могут указывать на попытку перебора пароля или brute-force-атаку, направленную на получение несанкционированного доступа к VPN. Такое поведение свидетельствует о возможных действиях атакующего, который пытается подключиться к серверу OpenVPN, используя .ovpn-профиль с подбором учетных данных. Если атакующий успешно подберет пароль, это может привести к компрометации учетной записи VPN-пользователя и доступу к внутренним ресурсам компании, что создаст угрозу утечки данных или последующих атак внутри сети.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1320	Подбор пароля в веб-консоль OpenVPN AS	Множество неудачных попыток входа могут указывать на попытку подобрать пароль или осуществить брутфорс-атаку, направленную на кражу учетных записей. Такое поведение указывает на возможное вмешательство атакующего, который пытается получить несанкционированный доступ к веб-консоли OpenVPN Access Server. Если атакующий получит успешный доступ к веб-консоли OpenVPN Access Server, это может привести к компрометации учетных данных, созданию или модификации VPN-пользователей, изменению настроек VPN-сервера, перехвату и анализу трафика, а также развитию атаки внутри сети, что поставит под угрозу внутренние ресурсы компании.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1321	Подключение OpenVPN за пределами России	OpenVPN широко используется для создания защищенных каналов связи через Интернет, обеспечивая шифрование и аутентификацию трафика. Однако в корпоративных сетях важно контролировать географию подключений, так как удаленный доступ из-за пределов России может указывать на компрометацию учетных данных, обход корпоративных ограничений или несанкционированную активность. Данное правило обнаруживает успешные подключения к OpenVPN из геолокации, не принадлежащей России.	Initial Access (TA0001) Valid Accounts (T1078) External Remote Services (T1133)
RV-D-1322	Множество неуспешных HTTP-запросов к OpenVPN AS	Правило предназначено для выявления множества неуспешных HTTP-запросов (например, с кодом 404) к админ-панели OpenVPN Access Server. Это может указывать на попытки сканирования или активного поиска уязвимостей в публично доступном приложении. Такая активность часто исходит из Интернета и может быть признаком попытки эксплуатации или DDoS-атаки.	Reconnaissance (TA0043) Initial Access (TA0001) Exploit Public-Facing Application (T1190) Active Scanning (T1595) Wordlist Scanning (T1595.003)
RV-D-1324	Аномальный HTTP-запрос к webUI Access Server	Данное правило корреляции предназначено для выявления аномальных HTTP-запросов к административной панели Access Server OpenVPN. Админ-панель OpenVPN Access Server представляет собой веб-интерфейс, используемый администраторами для управления серверами OpenVPN, настройками пользователей и мониторингом сессий. Правило выявляет попытки доступа к админ-панели Access Server, которые не соответствуют профилю легитимных администраторов. Сравнение осуществляется по IP-адресу.	Initial Access (TA0001) Valid Accounts (T1078) External Remote Services (T1133)

RV-D-1239

Изменение конфигурации OpenVPN Access Server

Атакующий может попытаться изменить конфигурационный файл OpenVPN Access Server с целью отключения логирования, изменения параметров аутентификации, маршрутизации или управления подключениями пользователей. Подобные изменения могут привести к скрытию его действий, снижению уровня безопасности и затруднению обнаружения подозрительной активности. Данное правило выявляет попытки изменения файла конфигурации as.conf.

Defense Evasion (TA0005)
Impair Defenses (T1562)

RV-D-1242

Доступ к файлу с ключами и сертификатами OpenVPN

Данное правило направлено на защиту конфиденциальных файлов OpenVPN, содержащих ключи и сертификаты, которые могут быть использованы атакующими для проведения атак типа Man-in-the-Middle (MitM), расшифровки TLS-пакетов или создания поддельных авторизационных токенов. При получении доступа к этим файлам атакующий может подписывать свои собственные сертификаты и выдать себя за доверенное соединение, что критично для безопасности VPN-сети. При срабатывании правила необходимо уточнить у пользователя легитимность активности. Важно учитывать контекст события, например, запуск команд копирования в рамках резервного копирования или административных задач. Если обращение к файлу происходит в нестандартное время, с необычного хоста или от учетной записи, не связанной с обслуживанием OpenVPN, это может указывать на попытку компрометации.

Resource Development (TA0042)
Collection (TA0009)
Data Staged (T1074)
Develop Capabilities (T1587)
Digital Certificates (T1587.003)
Obtain Capabilities (T1588)
Digital Certificates (T1588.004)

RV-D-1316

Подбор пароля клиента OpenVPN

Множество неудачных попыток аутентификации OpenVPN-клиента могут указывать на попытку перебора пароля или brute-force-атаку, направленную на получение несанкционированного доступа к VPN. Такое поведение свидетельствует о возможных действиях атакующего, который пытается подключиться к серверу OpenVPN, используя .ovpn-профиль с подбором учетных данных. Если атакующий успешно подберет пароль, это может привести к компрометации учетной записи VPN-пользователя и доступу к внутренним ресурсам компании, что создаст угрозу утечки данных или последующих атак внутри сети.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1320

Подбор пароля в веб-консоль OpenVPN AS

Множество неудачных попыток входа могут указывать на попытку подобрать пароль или осуществить брутфорс-атаку, направленную на кражу учетных записей. Такое поведение указывает на возможное вмешательство атакующего, который пытается получить несанкционированный доступ к веб-консоли OpenVPN Access Server. Если атакующий получит успешный доступ к веб-консоли OpenVPN Access Server, это может привести к компрометации учетных данных, созданию или модификации VPN-пользователей, изменению настроек VPN-сервера, перехвату и анализу трафика, а также развитию атаки внутри сети, что поставит под угрозу внутренние ресурсы компании.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1321

Подключение OpenVPN за пределами России

OpenVPN широко используется для создания защищенных каналов связи через Интернет, обеспечивая шифрование и аутентификацию трафика. Однако в корпоративных сетях важно контролировать географию подключений, так как удаленный доступ из-за пределов России может указывать на компрометацию учетных данных, обход корпоративных ограничений или несанкционированную активность. Данное правило обнаруживает успешные подключения к OpenVPN из геолокации, не принадлежащей России.

Initial Access (TA0001)
Valid Accounts (T1078)
External Remote Services (T1133)

RV-D-1322

Множество неуспешных HTTP-запросов к OpenVPN AS

Правило предназначено для выявления множества неуспешных HTTP-запросов (например, с кодом 404) к админ-панели OpenVPN Access Server. Это может указывать на попытки сканирования или активного поиска уязвимостей в публично доступном приложении. Такая активность часто исходит из Интернета и может быть признаком попытки эксплуатации или DDoS-атаки.

Reconnaissance (TA0043)
Initial Access (TA0001)
Exploit Public-Facing Application (T1190)
Active Scanning (T1595)
Wordlist Scanning (T1595.003)

RV-D-1324

Аномальный HTTP-запрос к webUI Access Server

Данное правило корреляции предназначено для выявления аномальных HTTP-запросов к административной панели Access Server OpenVPN. Админ-панель OpenVPN Access Server представляет собой веб-интерфейс, используемый администраторами для управления серверами OpenVPN, настройками пользователей и мониторингом сессий. Правило выявляет попытки доступа к админ-панели Access Server, которые не соответствуют профилю легитимных администраторов. Сравнение осуществляется по IP-адресу.

Initial Access (TA0001)
Valid Accounts (T1078)
External Remote Services (T1133)

Была ли полезна эта страница?