T1001.002: Стеганография

Злоумышленники могут использовать стеганографические техники, чтобы скрыть трафик взаимодействия с командным сервером и затруднить обнаружение этого трафика. Стеганографические техники могут использоваться для скрытия данных в цифровых сообщениях, передаваемых между системами. Эта скрытая информация может использоваться для управления скомпрометированными системами. В некоторых случаях файлы, используемые для взаимодействия с центрами управления ВПО, могут быть скрыты с помощью стеганографии, например в изображениях или документах.

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика).

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для борьбы с некоторыми видами обфускации на сетевом уровне.