T1030: Ограничение размера передаваемых блоков данных

Злоумышленники могут забирать данные из системы блоками фиксированного размера (а не целыми файлами) или пакетами размером ниже определенного порогового значения. Этот подход может использоваться для того, чтобы предотвратить активацию предупреждений о превышении пороговых значений при передаче данных по сети.

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений, которые обмениваются данными с недоверенными узлами или по которым передаются необычные потоки данных (например, подозрительные соединения, по которым отправляются пакеты данных фиксированного размера через регулярные промежутки времени, а также необычно длинные сеансы обмена данными). По возможности анализируйте содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов прикладного уровня, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, несоответствие портов протокола, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки (например, отслеживайте необычное использование файлов, которые обычно не инициируют сетевые соединения, а также необычное инициирование соединений).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте и анализируйте потоки трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, или необычные шаблоны трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для командной инфраструктуры и вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.