MaxPatrol EDR

Защищает конечные точки со всеми популярными ОС от сложных и целевых атак

T1001: Обфускация данных

Злоумышленники могут обфусцировать трафик взаимодействия с командным сервером, чтобы затруднить его обнаружение. Коммуникацию с командным сервером (C2) скрывают (но не обязательно шифруют), чтобы затруднить ее обнаружение или расшифровку, а также для того, чтобы сделать ее менее заметной и скрыть от средств обнаружения передаваемые команды. Для этого используется множество методов, например добавление "мусорных" данных в трафик протокола, стеганография или имитация легитимных протоколов.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, использующих проверку SSL/TLS для зашифрованного трафика, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретного вредоносного ПО злоумышленника, могут быть использованы для борьбы с некоторыми видами обфускации на сетевом уровне.