Техника на mitre.org

T1029: Передача по расписанию

Злоумышленники могут настроить график извлечения данных из системы, то есть данные будут передаваться только в определенные часы или с определенным интервалом. Это может делаться для того, чтобы смешать характерные шаблоны вредоносного трафика с периодами обычной сетевой активности или доступности.

Если используется эксфильтрация по расписанию, то для передачи информации из сети, скорее всего, применяются и другие техники эксфильтрации, такие как Эксфильтрация по каналу управления и Эксфильтрация по альтернативному протоколу.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD постоянно мониторит сетевой трафик и поэтому способен обнаруживать эксфильтрацию данных и соединения вредоносного ПО с командными серверами — независимо от времени, в которое происходит активность. Также в его арсенале присутствуют модули, способные обнаруживать активность фреймворков постэксплуатации, которые выявляют закономерности во времени между запросами.

Примеры правил обнаружения PT NAD

TOOLS [PTsecurity] PyExfil HTTP-Cookie Data exfiltration in progress (sid 10008728)

Модули обнаружения PT NAD

Использование Cobalt Strike

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с недоверенными узлами.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с недоверенными узлами.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.

Меры противодействия

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для командной инфраструктуры и вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты .

ID	Название	Описание
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для командной инфраструктуры и вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты .