T1016.001: Изучение интернет-соединений

Злоумышленники могут проверять наличие подключения к интернету на скомпрометированных системах. Эта проверка может проводиться во время автоматического обнаружения и выполняться различными способами, например с помощью команды ping, tracert и GET-запросов к веб-сайтам.

Злоумышленники могут использовать полученные результаты и ответы на эти запросы, чтобы до установки связи со своими командными серверами определить, может ли система взаимодействовать с ними. Результаты также могут использоваться для обнаружения маршрутизаторов, редиректоров и прокси-серверов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_discovery: PT-CR-1687: Unix_Internet_Connection_Discovery: Проверка доступности интернета с узла под управлением Unix unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запущенные процессы (такие как tracert или ping), которые могут проверять наличие подключения к интернету в скомпрометированных системах.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте команды с аргументами, которые могут использоваться для проверки подключения к интернету на скомпрометированных системах.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте запущенные процессы (такие как tracert или ping), которые могут проверять наличие подключения к интернету в скомпрометированных системах.
DS0017	Команда: Выполнение команд	Отслеживайте команды с аргументами, которые могут использоваться для проверки подключения к интернету на скомпрометированных системах.