Пивотинг

Иметь «плоскую» сеть сегодня считается моветоном, почти в каждой инфраструктуре есть как минимум файрвол. Чтобы добраться до важных сегментов, злоумышленники прибегают к пивотингу — технике, позволяющей атакующему использовать скомпрометированное устройство в качестве опорной точки для проникновения в другие части сети.

Прямой проброс портов (port forwarding)
Смоделируем следующую ситуацию. В инфраструктуре есть две сети: 172.16.10.0/24 и 192.168.0.0/24. При этом сеть 172.16.10.0/24 изолирована: на роутере средствами ACL запрещены любые подключения к 172.16.10.0/24 из 192.168.0.0/24. Возникла необходимость обмена файлами. Для этого был развернут файловый сервер с двумя сетевыми интерфейсами (192.168.0.10 и 172.16.10.15), доступный из обеих сетей. Злоумышленник скомпрометировал хост 192.168.0.5 и в результате успешной фишинговой атаки развернул реверс-шелл на нем. Однако интересующие злоумышленника данные находятся в соседней сети, на АРМ 172.16.10.21. В качестве шлюза ему стоит использовать тот самый сервер, который «смотрит» в обе сети. Скомпрометировав этот сервер, злоумышленник пробрасывает на нем порты до целевого хоста и далее взаимодействует с сервером через эрзац-шлюз. Выглядит это будет как показано на картинке [1]
В таком случае соединение устанавливается напрямую от атакующего к опорному компьютеру.

Наибольший минус здесь - вместе с доступом к точке входа (в нашем случае это 192.168.0.5) злоумышленник теряет и доступ ко всем целевым системам.

Обратный проброс портов (backconnect port forwarding)

Альтернативой прямому пробросу портов является обратный или удаленный проброс. При таком способе опорный компьютер сам инициирует соединение с хостом злоумышленника (backconnect). То есть в схеме появляется дополнительный внешний хост, созданный злоумышленником, к которому опорное устройство также может получить доступ.

Разовьем описанную выше ситуацию и представим, что злоумышленник уже добрался до опорного хоста 192.168.0.10 (172.16.10.15), но использовал не прямой проброс портов, а обратный — на собственный сервер через релей. В таком случае схема работы будет выглядеть как на картинке [2]
Затем через проброшенный порт злоумышленник подключается к опорному хосту и может взаимодействовать с ним через целевое устройство. Такой подход похож на использование реверс-шелла, но до сервера злоумышленника пробрасывается не командная оболочка, а только канал связи с конкретным портом.

Туннелирование
это инкапсуляция одного сетевого протокола в другой. Один из примеров этого метода — VPN, когда создается безопасный канал для обмена данными между удаленными узлами. Однако киберпреступники подходят к атакам с фантазией и адаптируют известные способы для своих нужд. Самые известные примеры — DNS- и ICMP-туннелирование.
При туннелировании схема работы будет аналогична переадресации портов обратного подключения. Различия станут видны, если мы спустимся на уровень пониже: от логической схемы взаимодействия до используемых протоколов. Так, при DNS-туннелировании в качестве релея будет выступать DNS-сервер, а передаваемые данные будут «вшиваться» в поддомены.

Преимуществ у этого способа много:
- Скрытность сетевой активности.
- Доступ к более низкоуровневым протоколам.
- Возможность обходить блокировки конкретных протоколов.

Проксирование
Как и проброс портов, может быть прямым и обратным (backconnect proxy). Во многом эти способы похожи. Отличие заключается в том, что в случае проксирования пробрасывается не конкретный порт, а сетевой доступ до всего пула адресов, доступных с опорного устройства. В этом и заключается главное преимущество проксирования перед обратным пробросом: атакующему не нужно подключаться к опорной машине, и он не ограничен одним проброшенным портом. К недостаткам можно отнести необходимость в большинстве случаев приносить на опорный хост инвазивные инструменты.

Для пивотинга в современном мире иб используются так называемые инструменты LOTL (Living-On-The-Land)
То есть подход когда инструмент атакующего - абсолютно легитимен.