PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1029: Передача по расписанию

Злоумышленники могут настроить график извлечения данных из системы, то есть данные будут передаваться только в определенные часы или с определенным интервалом. Это может делаться для того, чтобы смешать характерные шаблоны вредоносного трафика с периодами обычной сетевой активности или доступности.

Если используется эксфильтрация по расписанию, то для передачи информации из сети, скорее всего, применяются и другие техники эксфильтрации, такие как Эксфильтрация по каналу управления и Эксфильтрация по альтернативному протоколу.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD постоянно мониторит сетевой трафик и поэтому способен обнаруживать эксфильтрацию данных и соединения вредоносного ПО с командными серверами — независимо от времени, в которое происходит активность. Также в его арсенале присутствуют модули, способные обнаруживать активность фреймворков постэксплуатации, которые выявляют закономерности во времени между запросами.

Примеры правил обнаружения PT NAD

  • TOOLS [PTsecurity] PyExfil HTTP-Cookie Data exfiltration in progress (sid 10008728)

Модули обнаружения PT NAD

  • Использование Cobalt Strike

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте сетевой трафик, исходящий от неизвестных или непредвиденных аппаратных устройств. В идентификации аппаратных устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, связанного с конкретной командно-контрольной инфраструктурой злоумышленника и вредоносными программами, могут быть использованы для снижения активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Вероятно, со временем злоумышленники будут менять сигнатуры команд и управления инструментами или строить протоколы таким образом, чтобы избежать обнаружения обычными защитными средствами .