T1095: Протоколы (кроме прикладного уровня)
Злоумышленники могут использовать протокол модели OSI, не являющийся протоколом прикладного уровня, для взаимодействия между хостом и командным сервером или между зараженными хостами внутри сети. Список доступных протоколов обширен. В частности, могут использоваться протоколы сетевого уровня, такие как ICMP (Internet Control Message Protocol), протоколы транспортного уровня, такие как UDP (User Datagram Protocol), протоколы сеансового уровня, такие как SOCKS (Socket Secure), а также протоколы перенаправления/туннелирования, такие как SOL (Serial over LAN).
В качестве примера остановимся подробнее на взаимодействии между хостами по протоколу ICMP. Поскольку ICMP входит в стек протоколов TCP/IP, он должен использоваться на всех хостах, имеющих IP-адрес. Однако он не подвергается такому тщательному мониторингу, как другие интернет-протоколы, такие как TCP или UDP, и может использоваться злоумышленниками для скрытия коммуникаций.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
solaris_suspicious_network_activity: PT-CR-550: Solaris_Detect_Raw_Socket: Обнаружено сетевое взаимодействие с помощью сырых сокетов network_devices_compromise: PT-CR-574: Suspicious_ICMP_Packet: Обнаружена передача ICMP-пакета большого размера unix_mitre_attck_command_and_control: PT-CR-293: Unix_Raw_Socket: Сетевое взаимодействие с помощью сырых сокетов mitre_attck_command_and_control: PT-CR-611: Suspicious_Connection_After_Imageload: Процесс открыл сетевое соединение после загрузки библиотеки mitre_attck_command_and_control: PT-CR-612: Suspicious_Connection_System_Process: Процесс обратился на сетевой адрес
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
Меры противодействия
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Фильтруйте сетевой трафик для предотвращения использования ненужных протоколов на границе сети. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Правильно настройте межсетевые экраны и прокси-серверы, чтобы ограничить исходящий трафик только необходимыми портами и через соответствующие сетевые шлюзы. Также проследите, чтобы хосты были настроены только на взаимодействие через авторизованные интерфейсы. |
---|