T1041: Эксфильтрация по каналу управления

Злоумышленники могут извлекать данные из системы по существующему каналу взаимодействия с командным сервером. Похищенные данные кодируются в обычном канале связи по тому же протоколу, что используется для управления.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, позволяющих выполнить эксфильтрацию через канал управления. Например, с этой целью может использоваться инструмент dnscat2.exe (или его альтернатива в виде командлета PowerShell Start-Dnscat2)

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, с помощью которых можно извлечь данные из системы по существующему каналу взаимодействия с командным сервером.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отдельно отслеживайте подозрительные файлы (например, с расширениями .pdf, .docx или .jpg), с помощью которых злоумышленники могут извлекать данные из системы по существующему каналу взаимодействия с командным сервером.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о создании соединения с сетью TCP.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты .

IDM1057НазваниеПредотвращение потери данныхОписание

Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, передаваемые по незашифрованным протоколам.