Техника на mitre.org

T1048.002: Эксфильтрация по протоколу с асимметричным шифрованием

Злоумышленники могут похищать данные, передавая их по асимметрично зашифрованному сетевому протоколу, отличному от используемого в канале управления. Данные также могут передаваться на узел сети, отличный от основного командного сервера.

В асимметричных алгоритмах шифрования используются разные ключи на каждом конце канала. Этот механизм также известен как криптография с открытым ключом и требует наличия пары криптографических ключей, каждый из которых может шифровать/дешифровать данные, зашифрованные соответствующим парным к нему ключом. Для каждого из концов канала связи требуется закрытый ключ (используемый только участником на этом конце) и открытый ключ другого участника. Перед началом передачи шифрованных сообщений участники обмениваются открытыми ключами.

В сетевых протоколах с асимметричным шифрованием (например, HTTPS/TLS/SSL) часто применяется симметричное шифрование после обмена ключами. Злоумышленники могут использовать механизмы шифрования, заложенные в протокол.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

— Мониторинг событий запуска процесса tapinstall.exe. — Мониторинг событий Windows с идентификатором 7045, в которых ImagePath содержит значение «tap0901». — Мониторинг событий запуска командлета PowerShell Start-Dnscat2 или процесса dnscat2.exe

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с недоверенными узлами.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отдельно отслеживайте файлы, с помощью которых злоумышленники могут похищать данные, передавая их по симметрично зашифрованному сетевому протоколу, отличному от используемого в существующем канале взаимодействия с командным сервером.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, с помощью которых можно извлечь данные из системы по сетевому протоколу симметричного шифрования, отличному от используемого для взаимодействия с командным сервером.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с недоверенными узлами.
DS0022	Файл: Доступ к файлу	Отдельно отслеживайте файлы, с помощью которых злоумышленники могут похищать данные, передавая их по симметрично зашифрованному сетевому протоколу, отличному от используемого в существующем канале взаимодействия с командным сервером.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, с помощью которых можно извлечь данные из системы по сетевому протоколу симметричного шифрования, отличному от используемого для взаимодействия с командным сервером.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

ID	M1057	Название	Предотвращение потери данных	Описание	Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, загружаемые через веб-браузеры.

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для командной инфраструктуры и вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

ID	M1030	Название	Сегментация сети	Описание	Следуйте лучшим практикам настройки межсетевого экрана, чтобы разрешить вход в сеть и выход из нее только необходимому трафику и только через необходимые порты.

ID	M1037	Название	Фильтрация сетевого трафика	Описание	Применяйте прокси-серверы и используйте выделенные серверы для таких служб, как DNS; разрешайте взаимодействие через соответствующие порты и протоколы только этих систем, а не всех систем в сети.

ID	Название	Описание
M1057	Предотвращение потери данных	Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, загружаемые через веб-браузеры.
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для командной инфраструктуры и вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.
M1030	Сегментация сети	Следуйте лучшим практикам настройки межсетевого экрана, чтобы разрешить вход в сеть и выход из нее только необходимому трафику и только через необходимые порты.
M1037	Фильтрация сетевого трафика	Применяйте прокси-серверы и используйте выделенные серверы для таких служб, как DNS; разрешайте взаимодействие через соответствующие порты и протоколы только этих систем, а не всех систем в сети.