T1071.001: Веб-протоколы
Злоумышленники могут осуществлять взаимодействие по протоколам прикладного уровня, используемым для передачи веб-трафика, с целью маскировки вредоносного трафика под обычный и предотвращения обнаружения или сетевой фильтрации. Команды, направленные к удаленной системе, а также часто и результаты выполнения этих команд встраиваются в трафик между клиентом и сервером.
Такие протоколы, как HTTP, HTTPS и WebSocket, используются для передачи веб-трафика повсеместно. Пакеты HTTP и HTTPS содержат множество полей и заголовков, в которых могут быть скрыты данные. Злоумышленники могут использовать эти протоколы для взаимодействия с подконтрольными системами в целевой сети, имитируя типичный для этой сети трафик.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
redis: PT-CR-1987: redis_possible_security_attack_or_maxmemory_setting: В Redis сработали механизмы предупреждения. Это может быть вызвано межсайтовым скриптингом или подозрительным изменением параметра конфигурации "maxmemory"
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте потоки трафика, идущие к известным вредоносным или подозрительным доменам или от них, и анализируйте трафик, который не соответствует ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, или необычные шаблоны трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. |
---|