T1030: Ограничение размера передаваемых блоков данных
Злоумышленники могут забирать данные из системы блоками фиксированного размера (а не целыми файлами) или пакетами размером ниже определенного порогового значения. Этот подход может использоваться для того, чтобы предотвратить активацию предупреждений о превышении пороговых значений при передаче данных по сети.
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений, которые обмениваются данными с недоверенными узлами или по которым передаются необычные потоки данных (например, подозрительные соединения, по которым отправляются пакеты данных фиксированного размера через регулярные промежутки времени, а также необычно длинные сеансы обмена данными). По возможности анализируйте содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов прикладного уровня, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, несоответствие портов протокола, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки (например, отслеживайте необычное использование файлов, которые обычно не инициируют сетевые соединения, а также необычное инициирование соединений). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте и анализируйте потоки трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, или необычные шаблоны трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для командной инфраструктуры и вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. |
---|