T1008: Резервные каналы

Злоумышленники могут использовать резервные или альтернативные каналы связи, если основной канал скомпрометирован или недоступен, чтобы обеспечить надежное взаимодействие с командным сервером и не допустить превышения пороговых значений для передачи данных.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mssql_database: PT-CR-560: MSSQL_Dedicated_Administrator_Connection: Попытка подключиться к СУБД на сервере с помощью Dedicated Administrator Connection (DAC)

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных, например неожиданные всплески трафика и другие аномальные входящие или исходящие шаблоны трафика.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений, для которых злоумышленники могут использовать резервные или альтернативные каналы связи, чтобы обеспечить надежное взаимодействие с командным сервером и не допустить превышения пороговых значений для передачи данных, если основной канал скомпрометирован или недоступен. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, расшифровку и уведомления о создании TCP-соединений. Приведенная ниже аналитика использует идентификатор события для OSQuery.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретном протоколе, используемом конкретным злоумышленником или инструментом, и, скорее всего, будут отличаться в различных семействах и версиях вредоносных программ. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты .