T1071.001: Веб-протоколы
Злоумышленники могут осуществлять взаимодействие по протоколам прикладного уровня, используемым для передачи веб-трафика, с целью маскировки вредоносного трафика под обычный и предотвращения обнаружения или сетевой фильтрации. Команды, направленные к удаленной системе, а также часто и результаты выполнения этих команд встраиваются в трафик между клиентом и сервером.
Такие протоколы, как HTTP, HTTPS и WebSocket, используются для передачи веб-трафика повсеместно. Пакеты HTTP и HTTPS содержат множество полей и заголовков, в которых могут быть скрыты данные. Злоумышленники могут использовать эти протоколы для взаимодействия с подконтрольными системами в целевой сети, имитируя типичный для этой сети трафик.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
redis: PT-CR-1987: redis_possible_security_attack_or_maxmemory_setting: В Redis сработали механизмы предупреждения. Это может быть вызвано межсайтовым скриптингом или подозрительным изменением параметра конфигурации "maxmemory"
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Monitor and analyze traffic patterns and packet inspection associated to protocol(s), leveraging SSL/TLS inspection for encrypted traffic, that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Monitor for web traffic to/from known-bad or suspicious domains and analyze traffic flows that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, or gratuitous or anomalous traffic patterns). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Network intrusion detection and prevention systems that use network signatures to identify traffic for specific adversary malware can be used to mitigate activity at the network level. |
---|