T1041: Эксфильтрация по каналу управления
Злоумышленники могут извлекать данные из системы по существующему каналу взаимодействия с командным сервером. Похищенные данные кодируются в обычном канале связи по тому же протоколу, что используется для управления.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий запуска процессов, позволяющих выполнить эксфильтрацию через канал управления. Например, с этой целью может использоваться инструмент dnscat2.exe (или его альтернатива в виде командлета PowerShell Start-Dnscat2)
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, с помощью которых можно извлечь данные из системы по существующему каналу взаимодействия с командным сервером. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отдельно отслеживайте подозрительные файлы (например, с расширениями .pdf, .docx или .jpg), с помощью которых злоумышленники могут извлекать данные из системы по существующему каналу взаимодействия с командным сервером. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с недоверенными узлами. Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о создании соединения с сетью TCP. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты . |
---|
ID | M1057 | Название | Предотвращение потери данных | Описание | Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, передаваемые по незашифрованным протоколам. |
---|