T1095: Протоколы (кроме прикладного уровня)

Злоумышленники могут использовать протокол модели OSI, не являющийся протоколом прикладного уровня, для взаимодействия между хостом и командным сервером или между зараженными хостами внутри сети. Список доступных протоколов обширен. В частности, могут использоваться протоколы сетевого уровня, такие как ICMP (Internet Control Message Protocol), протоколы транспортного уровня, такие как UDP (User Datagram Protocol), протоколы сеансового уровня, такие как SOCKS (Socket Secure), а также протоколы перенаправления/туннелирования, такие как SOL (Serial over LAN).

В качестве примера остановимся подробнее на взаимодействии между хостами по протоколу ICMP. Поскольку ICMP входит в стек протоколов TCP/IP, он должен использоваться на всех хостах, имеющих IP-адрес. Однако он не подвергается такому тщательному мониторингу, как другие интернет-протоколы, такие как TCP или UDP, и может использоваться злоумышленниками для скрытия коммуникаций.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

solaris_suspicious_network_activity: PT-CR-550: Solaris_Detect_Raw_Socket: Обнаружено сетевое взаимодействие с помощью сырых сокетов network_devices_compromise: PT-CR-574: Suspicious_ICMP_Packet: Обнаружена передача ICMP-пакета большого размера unix_mitre_attck_command_and_control: PT-CR-293: Unix_Raw_Socket: Сетевое взаимодействие с помощью сырых сокетов mitre_attck_command_and_control: PT-CR-611: Suspicious_Connection_After_Imageload: Процесс открыл сетевое соединение после загрузки библиотеки mitre_attck_command_and_control: PT-CR-612: Suspicious_Connection_System_Process: Процесс обратился на сетевой адрес

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

IDM1037НазваниеФильтрация сетевого трафикаОписание

Фильтруйте сетевой трафик для предотвращения использования ненужных протоколов на границе сети.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

IDM1030НазваниеСегментация сетиОписание

Правильно настройте межсетевые экраны и прокси-серверы, чтобы ограничить исходящий трафик только необходимыми портами и через соответствующие сетевые шлюзы. Также проследите, чтобы хосты были настроены только на взаимодействие через авторизованные интерфейсы.