MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1001.003: Имитация протокола

Чтобы скрыть взаимодействие со своими командными серверами и помешать анализу, злоумышленники могут имитировать легитимные протоколы или трафик веб-служб. Используя имитацию легитимных протоколов или веб-служб, злоумышленники могут добиться того, что их трафик управления будет неразличим в потоке легитимного сетевого трафика.

Злоумышленники могут подделывать квитирование SSL/TLS, чтобы казалось, будто последующий трафик зашифрован посредством SSL/TLS, что может помешать работе некоторых защитных инструментов; кроме того, они могут замаскировать свой трафик под принадлежащий доверенному источнику.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_command_and_control: PT-CR-1211: CC_Channel_through_AD: Канал управления и контроля используется через Active Directory

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor and analyze traffic patterns and packet inspection associated to protocol(s), leveraging SSL/TLS inspection for encrypted traffic, that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)).

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Network intrusion detection and prevention systems that use network signatures to identify traffic for specific adversary malware can be used to mitigate some obfuscation activity at the network level.