深入研究 VPN代理和隧道

asmani000

当从对手的角度考虑攻击生命周期时，对手对于如何进行每个步骤有几种选择。需要回答的问题之一是对手是否会使用众所周知的恶意软件（即BEACON）、从头开始定制的恶意软件（即HAMMERTOSS）或合法软件和服务（即SoftEther 虚拟专用网络）提供完成上述步骤所需的功能。  


每个选项都有优点和缺点：众所周知的恶意软件可能非常便宜，但也很容易检测到，因为它已经出现在公众视野中一段时间​​了。由于其独特的代码库，定制恶意软件可能非常隐蔽，但由于需要在使用前进行开发，因此在时间和/或金钱上也非常昂贵。合法的软件和服务也可能是隐秘的，因为它们对“正常网络活动”具有伪装作用，但也可能无法准确提供所需的功能类型，因为它不是为用于其正在考虑的功能而编写的。

Mandiant 在与强大对手的研究和 B2B 电子邮件列表 交战中观察到了所有这三种理论上的“选择”，这使得每种方法对于狩猎、收集和分析都很有价值。

然而，您将要阅读的内容的目的是讨论第三个选项，也是在某些午餐桌上讨论最少的选项：合法的虚拟专用网络 (VPN) 软件、代理服务和本地主机隧道。本内容将逐步介绍这三种远程访问方法中的每一种，以进一步扩展防御者针对 VPN 软件、代理服务和隧道的搜索和检测能力。



定义差异
虚拟专用网络软件
要了解 VPN 软件，必须了解 VPN：虚拟专用网络是通过 Internet 从设备到网络的加密连接。加密连接有助于确保敏感数据的安全传输。它可以防止未经授权的人员窃听流量，并允许用户远程进行工作。

在下文中，VPN 软件将被定义为有助于使用 VPN 连接的任何软件工件（SoftEther VPN 客户端、OpenVPN 客户端等）。

代理服务

在计算机科学中，代理是驻留在发出请求的客户端和所请求的目标服务器之间的服务器。代理可用于多种目的，包括网络日志收集、缓存存储库和提供匿名互联网访问。代理服务是 一种在线资源，允许用户获得代理的好处，而无需考虑任何基础设施。
本地主机隧道。