T1001.003: Имитация протокола
Чтобы скрыть взаимодействие со своими командными серверами и помешать анализу, злоумышленники могут имитировать легитимные протоколы или трафик веб-служб. Используя имитацию легитимных протоколов или веб-служб, злоумышленники могут добиться того, что их трафик управления будет неразличим в потоке легитимного сетевого трафика.
Злоумышленники могут подделывать квитирование SSL/TLS, чтобы казалось, будто последующий трафик зашифрован посредством SSL/TLS, что может помешать работе некоторых защитных инструментов; кроме того, они могут замаскировать свой трафик под принадлежащий доверенному источнику.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_command_and_control: PT-CR-1211: CC_Channel_through_AD: Канал управления и контроля используется через Active Directory
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Monitor and analyze traffic patterns and packet inspection associated to protocol(s), leveraging SSL/TLS inspection for encrypted traffic, that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Network intrusion detection and prevention systems that use network signatures to identify traffic for specific adversary malware can be used to mitigate some obfuscation activity at the network level. |
---|