T1048.003: Эксфильтрация по протоколу без шифрования
Злоумышленники могут похищать данные, передавая их по незашифрованному сетевому протоколу, отличному от используемого в канале управления. Данные также могут передаваться на узел сети, отличный от основного командного сервера.
Злоумышленники могут обфусцировать эти данные без использования шифрования в сетевых протоколах, где шифрование изначально не используется (например, HTTP, FTP или DNS). Для этого могут использоваться нестандартные или общедоступные алгоритмы кодирования/сжатия (например, Base64), а также встраивание данных в заголовки и поля протокола.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item
mitre_attck_privilege_escalation: PT-CR-1937: SMB_RPC_Internet_Connection: Сетевое взаимодействие с интернет-источником по SMB или RPC, которое злоумышленник может использовать для первоначального доступа
bind: PT-CR-2191: BIND_Base64_Encoded_DNS_Request_Detection: Запрос параметров DNS для ресурса содержит кодировку Base64. Злоумышленники используют кодировку в запросах, чтобы замаскировать свою активность
bind: PT-CR-2193: BIND_Many_DNS_Requests_To_Single_Resource: Множество DNS-запросов к одному ресурсу, что может быть признаком работы вредоносного ПО, которое пытается получить доступ к вредоносным сайтам или сервисам
bind: PT-CR-2195: BIND_Many_DNS_Requests_From_Single_Host: Множество DNS-запросов с одного узла, что может быть признаком запуска вредоносного ПО, которое использует DNS для передачи команд и управления
bind: PT-CR-2196: BIND_Many_DNS_TXT_Records_Requests: Множество DNS-запросов с типом записи "TXT", что может быть признаком использования вредоносного инструмента Do-Exfiltration
dnsmasq: PT-CR-2200: Dnsmasq_TXT_Query_High_Frequency: Чрезвычайно высокая частота DNS-запросов c типом записи TXT от узла за короткий период времени может свидетельствовать об использовании инструмента Do-exfiltration
dnsmasq: PT-CR-2203: Dnsmasq_DNS_Query_High_Frequency: Большое количество DNS-запросов к одному и тому же домену, что может свидетельствовать об использовании DNS для передачи данных
dnsmasq: PT-CR-2227: Dnsmasq_Base64_Encoded_DNS_Request_Detection: Подозрительные DNS-запросы с использованием кодировки Base64
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отдельно отслеживайте файлы, с помощью которых злоумышленники могут похищать данные, передавая их по симметрично зашифрованному сетевому протоколу, отличному от используемого в существующем канале взаимодействия с командным сервером. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, с помощью которых можно извлечь данные из системы по сетевому протоколу симметричного шифрования, отличному от используемого для взаимодействия с командным сервером. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте создание сетевых соединений с недоверенными узлами. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для командной инфраструктуры и вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. |
---|
ID | M1057 | Название | Предотвращение потери данных | Описание | Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, передаваемые по незашифрованным протоколам. |
---|
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Применяйте прокси-серверы и используйте выделенные серверы для таких служб, как DNS; разрешайте взаимодействие через соответствующие порты и протоколы только этих систем, а не всех систем в сети. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Следуйте лучшим практикам настройки межсетевого экрана, чтобы разрешить вход в сеть и выход из нее только необходимому трафику и только через необходимые порты. |
---|