T1029: Передача по расписанию
Злоумышленники могут настроить график извлечения данных из системы, то есть данные будут передаваться только в определенные часы или с определенным интервалом. Это может делаться для того, чтобы смешать характерные шаблоны вредоносного трафика с периодами обычной сетевой активности или доступности.
Если используется эксфильтрация по расписанию, то для передачи информации из сети, скорее всего, применяются и другие техники эксфильтрации, такие как Эксфильтрация по каналу управления и Эксфильтрация по альтернативному протоколу.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD постоянно мониторит сетевой трафик и поэтому способен обнаруживать эксфильтрацию данных и соединения вредоносного ПО с командными серверами — независимо от времени, в которое происходит активность. Также в его арсенале присутствуют модули, способные обнаруживать активность фреймворков постэксплуатации, которые выявляют закономерности во времени между запросами.
Примеры правил обнаружения PT NAD
- TOOLS [PTsecurity] PyExfil HTTP-Cookie Data exfiltration in progress (sid 10008728)
Модули обнаружения PT NAD
- Использование Cobalt Strike
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте сетевой трафик, исходящий от неизвестных или непредвиденных аппаратных устройств. В идентификации аппаратных устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, связанного с конкретной командно-контрольной инфраструктурой злоумышленника и вредоносными программами, могут быть использованы для снижения активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Вероятно, со временем злоумышленники будут менять сигнатуры команд и управления инструментами или строить протоколы таким образом, чтобы избежать обнаружения обычными защитными средствами . |
---|