Техника на mitre.org

T1095: Протоколы (кроме прикладного уровня)

Злоумышленники могут использовать протокол модели OSI, не являющийся протоколом прикладного уровня, для взаимодействия между хостом и командным сервером или между зараженными хостами внутри сети. Список доступных протоколов обширен. В частности, могут использоваться протоколы сетевого уровня, такие как ICMP (Internet Control Message Protocol), протоколы транспортного уровня, такие как UDP (User Datagram Protocol), протоколы сеансового уровня, такие как SOCKS (Socket Secure), а также протоколы перенаправления/туннелирования, такие как SOL (Serial over LAN).

В качестве примера остановимся подробнее на взаимодействии между хостами по протоколу ICMP. Поскольку ICMP входит в стек протоколов TCP/IP, он должен использоваться на всех хостах, имеющих IP-адрес. Однако он не подвергается такому тщательному мониторингу, как другие интернет-протоколы, такие как TCP или UDP, и может использоваться злоумышленниками для скрытия коммуникаций.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

solaris_suspicious_network_activity: PT-CR-550: Solaris_Detect_Raw_Socket: Обнаружено сетевое взаимодействие с помощью сырых сокетов mitre_attck_command_and_control: PT-CR-2808: Subrule_Suspicious_Connection_System_Process: Вспомогательное правило для обнаружения сетевых соединений, созданных процессом с системными привилегиями, после того, как получен доступ к нему, создан поток в его адресном пространстве, загружена подозрительная DLL-библиотека или запущен дочерний процесс mitre_attck_command_and_control: PT-CR-3053: Wintun_Network_Driver_Usage: Использована библиотека Wintun, что может быть признаком установления однорангового (peer-to-peer) соединения с сервером злоумышленника mitre_attck_command_and_control: PT-CR-612: Subrule_Connection_System_Process: Процесс с системными привилегиями открыл сетевое соединение mitre_attck_command_and_control: PT-CR-2814: Suspicious_Connection_System_Process: Сетевое соединение, созданное процессом с системными привилегиями, после того, как получен доступ к нему, создан поток в его адресном пространстве, загружена подозрительная DLL-библиотека или запущен дочерний процесс mitre_attck_command_and_control: PT-CR-611: Suspicious_Connection_After_Imageload: Процесс открыл сетевое соединение после загрузки библиотеки unix_mitre_attck_command_and_control: PT-CR-293: Unix_Raw_Socket: Сетевое взаимодействие с помощью сырых сокетов network_devices_compromise: PT-CR-574: Suspicious_ICMP_Packet: Обнаружена передача ICMP-пакета большого размера

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

ID	M1037	Название	Фильтрация сетевого трафика	Описание	Фильтруйте сетевой трафик для предотвращения использования ненужных протоколов на границе сети.

ID	M1030	Название	Сегментация сети	Описание	Правильно настройте межсетевые экраны и прокси-серверы, чтобы ограничить исходящий трафик только необходимыми портами и через соответствующие сетевые шлюзы. Также проследите, чтобы хосты были настроены только на взаимодействие через авторизованные интерфейсы.

ID	Название	Описание
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.
M1037	Фильтрация сетевого трафика	Фильтруйте сетевой трафик для предотвращения использования ненужных протоколов на границе сети.
M1030	Сегментация сети	Правильно настройте межсетевые экраны и прокси-серверы, чтобы ограничить исходящий трафик только необходимыми портами и через соответствующие сетевые шлюзы. Также проследите, чтобы хосты были настроены только на взаимодействие через авторизованные интерфейсы.