MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1048.003: Эксфильтрация по протоколу без шифрования

Злоумышленники могут похищать данные, передавая их по незашифрованному сетевому протоколу, отличному от используемого в канале управления. Данные также могут передаваться на узел сети, отличный от основного командного сервера.

Злоумышленники могут обфусцировать эти данные без использования шифрования в сетевых протоколах, где шифрование изначально не используется (например, HTTP, FTP или DNS). Для этого могут использоваться нестандартные или общедоступные алгоритмы кодирования/сжатия (например, Base64), а также встраивание данных в заголовки и поля протокола.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-1932: Copying_Files: Копирование файлов и папок с помощью утилит xcopy, robocopy, команды copy, командлета Copy-Item
mitre_attck_privilege_escalation: PT-CR-1937: SMB_RPC_Internet_Connection: Сетевое взаимодействие с интернет-источником по SMB или RPC, которое злоумышленник может использовать для первоначального доступа
bind: PT-CR-2191: BIND_Base64_Encoded_DNS_Request_Detection: Запрос параметров DNS для ресурса содержит кодировку Base64. Злоумышленники используют кодировку в запросах, чтобы замаскировать свою активность
bind: PT-CR-2193: BIND_Many_DNS_Requests_To_Single_Resource: Множество DNS-запросов к одному ресурсу, что может быть признаком работы вредоносного ПО, которое пытается получить доступ к вредоносным сайтам или сервисам
bind: PT-CR-2195: BIND_Many_DNS_Requests_From_Single_Host: Множество DNS-запросов с одного узла, что может быть признаком запуска вредоносного ПО, которое использует DNS для передачи команд и управления
bind: PT-CR-2196: BIND_Many_DNS_TXT_Records_Requests: Множество DNS-запросов с типом записи "TXT", что может быть признаком использования вредоносного инструмента Do-Exfiltration
dnsmasq: PT-CR-2200: Dnsmasq_TXT_Query_High_Frequency: Чрезвычайно высокая частота DNS-запросов c типом записи TXT от узла за короткий период времени может свидетельствовать об использовании инструмента Do-exfiltration
dnsmasq: PT-CR-2203: Dnsmasq_DNS_Query_High_Frequency: Большое количество DNS-запросов к одному и тому же домену, что может свидетельствовать об использовании DNS для передачи данных
dnsmasq: PT-CR-2227: Dnsmasq_Base64_Encoded_DNS_Request_Detection: Подозрительные DNS-запросы с использованием кодировки Base64

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отдельно отслеживайте файлы, с помощью которых злоумышленники могут похищать данные, передавая их по симметрично зашифрованному сетевому протоколу, отличному от используемого в существующем канале взаимодействия с командным сервером.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, с помощью которых можно извлечь данные из системы по сетевому протоколу симметричного шифрования, отличному от используемого для взаимодействия с командным сервером.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений с недоверенными узлами.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для командной инфраструктуры и вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

IDM1057НазваниеПредотвращение потери данныхОписание

Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, передаваемые по незашифрованным протоколам.

IDM1037НазваниеФильтрация сетевого трафикаОписание

Применяйте прокси-серверы и используйте выделенные серверы для таких служб, как DNS; разрешайте взаимодействие через соответствующие порты и протоколы только этих систем, а не всех систем в сети.

IDM1030НазваниеСегментация сетиОписание

Следуйте лучшим практикам настройки межсетевого экрана, чтобы разрешить вход в сеть и выход из нее только необходимому трафику и только через необходимые порты.