Техника на mitre.org

T1048.001: Эксфильтрация по протоколу с симметричным шифрованием

Злоумышленники могут похищать данные, передавая их по симметрично зашифрованному сетевому протоколу, отличному от используемого в канале управления. Данные также могут передаваться на узел сети, отличный от основного командного сервера.

В симметричных алгоритмах шифрования используются общие или одинаковые ключи или секреты на обоих концах канала. Для их реализации требуется обмен значением, используемым для шифрования и дешифрования данных, либо заранее оговоренное соглашение касательно этого значения, либо заранее оговоренное наличие этого значения.

В сетевых протоколах с асимметричным шифрованием часто применяется симметричное шифрование после обмена ключами, но злоумышленники могут предпочесть ручной обмен ключами и реализовать симметричные криптографические алгоритмы (например: RC4, AES), используя механизмы, заложенные в протокол. В результате может возникнуть несколько уровней шифрования в протоколах, где шифрование присутствует изначально (например, HTTPS), или может появиться уровень шифрования в протоколах, где шифрование обычно не используется (например, HTTP или FTP).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

— Мониторинг событий запуска процесса dnsExfiltrator.exe или командлета PowerShell Invoke-DNSExfiltrator. — Мониторинг событий запуска процесса cscript.exe, в командной строке которого содержится сценарий dnsExiltrator.js

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, с помощью которых можно извлечь данные из системы по сетевому протоколу симметричного шифрования, отличному от используемого для взаимодействия с командным сервером.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отдельно отслеживайте файлы, с помощью которых злоумышленники могут похищать данные, передавая их по симметрично зашифрованному сетевому протоколу, отличному от используемого в существующем канале взаимодействия с командным сервером.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с недоверенными узлами.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, с помощью которых можно извлечь данные из системы по сетевому протоколу симметричного шифрования, отличному от используемого для взаимодействия с командным сервером.
DS0022	Файл: Доступ к файлу	Отдельно отслеживайте файлы, с помощью которых злоумышленники могут похищать данные, передавая их по симметрично зашифрованному сетевому протоколу, отличному от используемого в существующем канале взаимодействия с командным сервером.
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с недоверенными узлами.

Меры противодействия

ID	M1037	Название	Фильтрация сетевого трафика	Описание	Применяйте прокси-серверы и используйте выделенные серверы для таких служб, как DNS; разрешайте взаимодействие через соответствующие порты и протоколы только этих систем, а не всех систем в сети.

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для командной инфраструктуры и вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

ID	M1030	Название	Сегментация сети	Описание	Следуйте лучшим практикам настройки межсетевого экрана, чтобы разрешить вход в сеть и выход из нее только необходимому трафику и только через необходимые порты.

ID	Название	Описание
M1037	Фильтрация сетевого трафика	Применяйте прокси-серверы и используйте выделенные серверы для таких служб, как DNS; разрешайте взаимодействие через соответствующие порты и протоколы только этих систем, а не всех систем в сети.
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для командной инфраструктуры и вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.
M1030	Сегментация сети	Следуйте лучшим практикам настройки межсетевого экрана, чтобы разрешить вход в сеть и выход из нее только необходимому трафику и только через необходимые порты.