T1001.001: "Мусорные" данные

Чтобы затруднить обнаружение, злоумышленники могут добавлять "мусорные" данные в свои протоколы управления. Добавляя случайные или не имеющие смысла данные в протоколы управления, злоумышленники могут препятствовать использованию простых методов декодирования и расшифровки или иных способов анализа трафика. В качестве примера можно привести добавление в данные "мусорных" символов или вставку таких символов между значимыми символами.

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для борьбы с некоторыми видами обфускации на сетевом уровне.