Техника на mitre.org

T1071: Протокол прикладного уровня

Злоумышленники могут осуществлять взаимодействие по протоколам прикладного уровня модели OSI с целью маскировки вредоносного трафика под обычный и предотвращения обнаружения или сетевой фильтрации. Команды, направленные к удаленной системе, а также часто и результаты выполнения этих команд встраиваются в трафик между клиентом и сервером.

Злоумышленники могут использовать множество протоколов, в том числе предназначенных для веб-серфинга, передачи файлов и сообщений электронной почты, а также протокол DNS. Для внутренних подключений в пределах закрытой сети (например, между прокси-сервером или промежуточным узлом и другими узлами) чаще всего используются протоколы SMB, SSH или RDP.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

hacking_tools: PT-CR-2870: PhantomCore_Tools_Usage: Активность, характерная для трояна удаленного доступа PhantomRAT или его загрузчика PhantomDL. Признаки активности: DNS-запросы к доменам для определения публичного IP-адреса, загрузка библиотек для работы с WMI и сетевой конфигурацией или запуск дочернего процесса для получения домена пользователя от процесса с двойным расширением mitre_attck_command_and_control: PT-CR-2780: Subrule_DoublePulsar_Process_Access: Процесс получил доступ к своему дочернему процессу после его запуска mitre_attck_command_and_control: PT-CR-2781: DoublePulsar_Activity: Анонимный доступ к именованному каналу IPC$ и загрузка библиотек, характерных для бэкдора DoublePulsar. К бэкдору посылаются специальные запросы ("knock" requests) в виде доступа к ресурсу IPC$ mitre_attck_command_and_control: PT-CR-2782: Subrule_DoublePulsar_IPC_Access: Удаленное подключение к именованному каналу IPC$ от имени анонимной учетной записи и соединение с компьютером атакующего. Это может быть признаком работы бэкдора DoublePulsar mitre_attck_command_and_control: PT-CR-2435: CC_Triangulation_Trojan: Целевая атака с помощью трояна Triangulation. Возможна утечка конфиденциальной информации с устройств, работающих под операционной системой iOS

Подтехники

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, использующих проверку SSL/TLS для зашифрованного трафика, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте и анализируйте потоки трафика, не соответствующие ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, или необычные шаблоны трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, использующих проверку SSL/TLS для зашифрованного трафика, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте и анализируйте потоки трафика, не соответствующие ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, или необычные шаблоны трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретных вредоносных программ злоумышленника, могут быть использованы для снижения активности на сетевом уровне.

ID	M1037	Название	Фильтрация сетевого трафика	Описание	По возможности фильтруйте DNS-запросы к неизвестным, недоверенным или заведомо плохим доменам и ресурсам. Разрешение DNS-запросов с помощью локальных/прокси-серверов также может пресечь попытки злоумышленников скрыть данные в DNS-пакетах.

ID	Название	Описание
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретных вредоносных программ злоумышленника, могут быть использованы для снижения активности на сетевом уровне.
M1037	Фильтрация сетевого трафика	По возможности фильтруйте DNS-запросы к неизвестным, недоверенным или заведомо плохим доменам и ресурсам. Разрешение DNS-запросов с помощью локальных/прокси-серверов также может пресечь попытки злоумышленников скрыть данные в DNS-пакетах.