OpenVPN и OpenVPN Access Server: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1239	Изменение конфигурации OpenVPN Access Server	Атакующий может попытаться изменить конфигурационный файл OpenVPN Access Server с целью отключения логирования, изменения параметров аутентификации, маршрутизации или управления подключениями пользователей. Подобные изменения могут привести к скрытию его действий, снижению уровня безопасности и затруднению обнаружения подозрительной активности. Данное правило выявляет попытки изменения файла конфигурации `as.conf`.	Defense Evasion (TA0005) Impair Defenses (T1562)
RV-D-1242	Доступ к файлу с ключами и сертификатами OpenVPN	Данное правило направлено на защиту конфиденциальных файлов OpenVPN, содержащих ключи и сертификаты, которые могут быть использованы атакующими для проведения атак типа Man-in-the-Middle (MitM), расшифровки TLS-пакетов или создания поддельных авторизационных токенов. При получении доступа к этим файлам атакующий может подписывать свои собственные сертификаты и выдать себя за доверенное соединение, что критично для безопасности VPN-сети. При срабатывании правила необходимо уточнить у пользователя легитимность активности. Важно учитывать контекст события, например, запуск команд копирования в рамках резервного копирования или административных задач. Если обращение к файлу происходит в нестандартное время, с необычного хоста или от учетной записи, не связанной с обслуживанием OpenVPN, это может указывать на попытку компрометации.	Resource Development (TA0042) Collection (TA0009) Data Staged (T1074) Develop Capabilities (T1587) Digital Certificates (T1587.003) Obtain Capabilities (T1588) Digital Certificates (T1588.004)

RV-D-1239

Изменение конфигурации OpenVPN Access Server

Атакующий может попытаться изменить конфигурационный файл OpenVPN Access Server с целью отключения логирования, изменения параметров аутентификации, маршрутизации или управления подключениями пользователей. Подобные изменения могут привести к скрытию его действий, снижению уровня безопасности и затруднению обнаружения подозрительной активности. Данное правило выявляет попытки изменения файла конфигурации as.conf.

Defense Evasion (TA0005)
Impair Defenses (T1562)

RV-D-1242

Доступ к файлу с ключами и сертификатами OpenVPN

Данное правило направлено на защиту конфиденциальных файлов OpenVPN, содержащих ключи и сертификаты, которые могут быть использованы атакующими для проведения атак типа Man-in-the-Middle (MitM), расшифровки TLS-пакетов или создания поддельных авторизационных токенов. При получении доступа к этим файлам атакующий может подписывать свои собственные сертификаты и выдать себя за доверенное соединение, что критично для безопасности VPN-сети. При срабатывании правила необходимо уточнить у пользователя легитимность активности. Важно учитывать контекст события, например, запуск команд копирования в рамках резервного копирования или административных задач. Если обращение к файлу происходит в нестандартное время, с необычного хоста или от учетной записи, не связанной с обслуживанием OpenVPN, это может указывать на попытку компрометации.

Resource Development (TA0042)
Collection (TA0009)
Data Staged (T1074)
Develop Capabilities (T1587)
Digital Certificates (T1587.003)
Obtain Capabilities (T1588)
Digital Certificates (T1588.004)

Была ли полезна эта страница?