Presentación de la nueva cobertura de la plataforma Vectra AI para Copilot y Microsoft Azure

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Técnica de ataque

Duplicación del tráfico

La duplicación del tráfico es una parte importante del diagnóstico de redes, pero también abre la puerta a la filtración de datos. Esto es lo que necesitas saber sobre esta técnica de ataque.

Definición
Cómo funciona
Por qué lo utilizan los atacantes
Detección
Preguntas frecuentes
Definición

¿Qué es la duplicación de tráfico?

La duplicación de tráfico es una característica de Amazon Virtual Private Cloud (VPC) que le permite copiar el tráfico de red y enviarlo a otro destino, como una herramienta de inspección o solución de problemas. Según AWS, esta técnica funciona copiando el tráfico entrante y saliente de las interfaces de red conectadas a sus instancias EC2. Puede enviar este tráfico duplicado a un equilibrador de carga de red o gateway con un oyente UDP, o a la interfaz de red de otra instancia. Los componentes incluyen:

  • La fuente de duplicación de tráfico, normalmente una interfaz de red elástica (ENI)
  • Objetivos de duplicación de tráfico o dispositivos de seguridad y supervisión
  • La sesión espejo de tráfico, o la conexión entre el origen y el destino.

El filtro espejo de tráfico, o reglas de entrada y salida que determinan qué tráfico copiar y enviar.

Cómo funciona

¿Cómo funciona la duplicación de tráfico?

La duplicación del tráfico puede implementarse en varios puntos de una red, como conmutadores, enrutadores o tomas de red dedicadas. El tráfico duplicado suele dirigirse a dispositivos de seguridad, sistemas de detección de intrusiones (IDS), sistemas de prevención de intrusiones (IPS) o un sistema de gestión de eventos e información de seguridad (SIEM). El objetivo es proporcionar a estas herramientas datos en tiempo real sin interrumpir el flujo del tráfico original. Entre las ventajas se incluyen:

  • Más visibilidad: La supervisión del tráfico en tiempo real ayuda a los equipos de ciberseguridad a obtener una visión completa de la actividad de la red. Esta visibilidad es crucial para identificar comportamientos sospechosos y posibles incidentes de seguridad.
  • Supervisión no intrusiva: La duplicación del tráfico permite observar pasivamente los datos de la red, garantizando que las medidas de seguridad no interfieran con el funcionamiento normal de la red.
  • Detección de amenazas mejorada: El tráfico duplicado puede introducirse en su solución de detección y respuesta de red, donde el aprendizaje automático y la IA detectan anomalías, actividades maliciosas y movimientos laterales.
  • Supervisión del rendimiento: Más allá de la seguridad, la duplicación del tráfico ayuda a los administradores de red a diagnosticar y resolver problemas con mayor eficacia.
  • Conformidad: La duplicación del tráfico le ayuda a mantener el cumplimiento de los requisitos normativos garantizando la supervisión y el registro continuos de las actividades de la red. 

Es importante tener en cuenta que, aunque la duplicación del tráfico es una parte fundamental del diagnóstico de la red, también es una forma de que los atacantes filtren sus datos.

Proceso de duplicación del tráfico
Por qué lo utilizan los atacantes

¿Por qué los atacantes utilizan la duplicación de tráfico?

Los atacantes utilizan la duplicación del tráfico para interceptar, capturar y analizar las comunicaciones de red sin autorización. Al duplicar el tráfico de red y dirigirlo a una ubicación que controlan, los atacantes pueden acceder a información confidencial, supervisar las comunicaciones y explotar las vulnerabilidades de una red.

Razones principales por las que los atacantes emplean la duplicación de tráfico

Interceptación de datos sensibles

  • Recolección de credenciales: Los atacantes pueden capturar nombres de usuario, contraseñas y tokens de autenticación transmitidos a través de la red. Esto permite el acceso no autorizado a sistemas, aplicaciones y servicios.
  • Robo de datos: La información sensible, como datos personales, registros financieros, propiedad intelectual y comunicaciones empresariales confidenciales, puede ser interceptada y exfiltrada.
  • Secuestro de sesión: Mediante la captura de cookies o tokens de sesión, los atacantes pueden secuestrar sesiones de usuario activas, haciéndose pasar por usuarios legítimos para obtener más acceso.

Reconocimiento y vigilancia de redes

  • Mapeo de la red: El análisis del tráfico duplicado ayuda a los atacantes a comprender la topología de la red, identificar dispositivos, servicios y patrones de comunicación.
  • Identificación de vulnerabilidades: El análisis del tráfico puede revelar software obsoleto, protocolos inseguros, configuraciones erróneas o métodos de cifrado débiles que pueden ser explotados.
  • Espionaje: Los atacantes pueden vigilar las comunicaciones para recabar información de inteligencia, espiar conversaciones delicadas o recopilar información para futuros ataques.

Eludir el cifrado y las medidas de seguridad

  • Interceptación SSL/TLS: Si los atacantes pueden interceptar el tráfico cifrado antes de que se cifre o después de que se descifre, pueden acceder a los datos en texto plano.
  • Evitar la detección: Al reflejar el tráfico internamente, los atacantes pueden eludir las medidas de seguridad perimetrales, como cortafuegos y sistemas de detección de intrusiones que vigilan las amenazas externas.

Facilitar los ataques avanzados

  • Ataques Man-in-the-Middle (MitM): La duplicación del tráfico permite a los atacantes situarse entre las partes en comunicación, lo que les permite interceptar, modificar o inyectar datos maliciosos en el flujo de comunicación.
  • Command and Control (C2): Los atacantes pueden establecer canales encubiertos dentro del tráfico duplicado para controlar los sistemas comprometidos sin levantar sospechas.
  • Inyección de malware: Mediante la manipulación del tráfico, los atacantes pueden enviar cargas útiles de malware a los sistemas objetivo.

Exfiltración de datos

  • Transferencia sigilosa de datos: El tráfico duplicado puede utilizarse para filtrar grandes cantidades de datos a lo largo del tiempo, reduciendo la probabilidad de detección.
  • Codificación de datos y esteganografía: Los atacantes pueden ocultar datos dentro de patrones de tráfico o archivos legítimos, haciendo que la exfiltración sea menos perceptible.

Métodos utilizados por los atacantes para duplicar el tráfico

Comprometer dispositivos de red

  • Enrutadores y conmutadores: Obtención de acceso no autorizado a dispositivos de infraestructura de red para configurar sesiones de duplicación de puertos o SPAN (analizador de puertos de conmutadores).
  • Interferencias de red: Instalación física de dispositivos que interceptan los cables de red para capturar el tráfico sin interrumpir el funcionamiento de la red.

Instalación de software malicioso

  • Detectores de paquetes: Despliegue de software como Wireshark, tcpdump o sniffers personalizados en sistemas comprometidos para capturar paquetes de red.
  • Rootkits y malware: Uso de malware avanzado que opera a nivel del kernel para interceptar comunicaciones de red de forma invisible.

Aprovechamiento de las vulnerabilidades de los protocolos

  • ARP Spoofing/Poisoning: Manipulación de las tablas del Protocolo de Resolución de Direcciones para redirigir el tráfico a través del sistema del atacante.
  • Suplantación de DNS: Redirigir el tráfico corrompiendo las respuestas DNS para enviar a los usuarios a sitios maliciosos.

Comprometer las redes inalámbricas

  • Puntos de acceso no autorizados: Configuración de puntos de acceso inalámbricos no autorizados para interceptar el tráfico inalámbrico.
  • Ataques Evil Twin: Imitar redes Wi-Fi legítimas para engañar a los usuarios y conseguir que se conecten, lo que permite a los atacantes interceptar su tráfico.
Detección de plataformas

Cómo detectar la duplicación de tráfico malicioso

La única forma probada de detectar el mirroring de tráfico malicioso antes de que empiece es con IA avanzada y aprendizaje automático. Por eso, los ingenieros de seguridad de Vectra AIhan creado un modelo de detección avanzado basado en IA específico para la monitorización del tráfico. Los analistas de seguridad lo utilizan para ver cuándo se invoca una API de plano de control de AWS, el primer signo de un intento malicioso de aprovechar la duplicación de tráfico, para que pueda detener al atacante antes de que tenga la oportunidad de crear una sesión de tráfico de red.

Detección
Creación de réplicas de tráfico sospechoso de AWS
Más información
Explorar todas las detecciones

Proteja su red con detecciones avanzadas

La duplicación de tráfico es una de las docenas de detecciones avanzadas basadas en IA disponibles en la plataforma Vectra AI , que cubre el 90% de las técnicas relevantes de MITRE ATT&CK .

Explorar la plataforma
Más información

Preguntas frecuentes