Техника на mitre.org

T1071.003: Протоколы эл. почты

Злоумышленники могут осуществлять взаимодействие по протоколам прикладного уровня, используемым для передачи электронной почты, с целью маскировки вредоносного трафика под обычный и предотвращения обнаружения или сетевой фильтрации. Команды, направленные к удаленной системе, а также часто и результаты выполнения этих команд встраиваются в трафик между клиентом и сервером.

Такие протоколы, как SMTP, SMTPS, POP3, POP3S и IMAP, используются для передачи почтового трафика повсеместно. Пакеты, создаваемые этими протоколами, могут содержать множество полей и заголовков, в которых могут быть скрыты данные. Данные также могут быть скрыты внутри передаваемых сообщений электронной почты. Злоумышленники могут использовать эти протоколы для взаимодействия с подконтрольными системами в целевой сети, имитируя типичный для этой сети трафик.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

network_devices_abnormal_activity: PT-CR-471: External_Mail_Service_Usage: Обнаружено подключение к внешней почтовой службе network_devices_abnormal_activity: PT-CR-626: External_Mail_Service_Usage_SMTP: Обнаружено подключение к внешней почтовой службе

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте и анализируйте потоки трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, или необычные шаблоны трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте и анализируйте потоки трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, или необычные шаблоны трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

ID	Название	Описание
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.