T1008: Резервные каналы
Злоумышленники могут использовать резервные или альтернативные каналы связи, если основной канал скомпрометирован или недоступен, чтобы обеспечить надежное взаимодействие с командным сервером и не допустить превышения пороговых значений для передачи данных.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mssql_database: PT-CR-560: MSSQL_Dedicated_Administrator_Connection: Попытка подключиться к СУБД на сервере с помощью Dedicated Administrator Connection (DAC)
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных, например неожиданные всплески трафика и другие аномальные входящие или исходящие шаблоны трафика. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений, для которых злоумышленники могут использовать резервные или альтернативные каналы связи, чтобы обеспечить надежное взаимодействие с командным сервером и не допустить превышения пороговых значений для передачи данных, если основной канал скомпрометирован или недоступен. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, расшифровку и уведомления о создании TCP-соединений. Приведенная ниже аналитика использует идентификатор события для OSQuery. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретном протоколе, используемом конкретным злоумышленником или инструментом, и, скорее всего, будут отличаться в различных семействах и версиях вредоносных программ. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты . |
---|