T1095: Протоколы (кроме прикладного уровня)

Злоумышленники могут использовать протокол модели OSI, не являющийся протоколом прикладного уровня, для взаимодействия между хостом и командным сервером или между зараженными хостами внутри сети. Список доступных протоколов обширен. В частности, могут использоваться протоколы сетевого уровня, такие как ICMP (Internet Control Message Protocol), протоколы транспортного уровня, такие как UDP (User Datagram Protocol), протоколы сеансового уровня, такие как SOCKS (Socket Secure), а также протоколы перенаправления/туннелирования, такие как SOL (Serial over LAN).

В качестве примера остановимся подробнее на взаимодействии между хостами по протоколу ICMP. Поскольку ICMP входит в стек протоколов TCP/IP, он должен использоваться на всех хостах, имеющих IP-адрес. Однако он не подвергается такому тщательному мониторингу, как другие интернет-протоколы, такие как TCP или UDP, и может использоваться злоумышленниками для скрытия коммуникаций.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

solaris_suspicious_network_activity: PT-CR-550: Solaris_Detect_Raw_Socket: Обнаружено сетевое взаимодействие с помощью сырых сокетов mitre_attck_command_and_control: PT-CR-2808: Subrule_Suspicious_Connection_System_Process: Вспомогательное правило для обнаружения сетевых соединений, созданных процессом с системными привилегиями, после того, как получен доступ к нему, создан поток в его адресном пространстве, загружена подозрительная DLL-библиотека или запущен дочерний процесс mitre_attck_command_and_control: PT-CR-3053: Wintun_Network_Driver_Usage: Использована библиотека Wintun, что может быть признаком установления однорангового (peer-to-peer) соединения с сервером злоумышленника mitre_attck_command_and_control: PT-CR-612: Subrule_Connection_System_Process: Процесс с системными привилегиями открыл сетевое соединение mitre_attck_command_and_control: PT-CR-2814: Suspicious_Connection_System_Process: Сетевое соединение, созданное процессом с системными привилегиями, после того, как получен доступ к нему, создан поток в его адресном пространстве, загружена подозрительная DLL-библиотека или запущен дочерний процесс mitre_attck_command_and_control: PT-CR-611: Suspicious_Connection_After_Imageload: Процесс открыл сетевое соединение после загрузки библиотеки unix_mitre_attck_command_and_control: PT-CR-293: Unix_Raw_Socket: Сетевое взаимодействие с помощью сырых сокетов network_devices_compromise: PT-CR-574: Suspicious_ICMP_Packet: Обнаружена передача ICMP-пакета большого размера

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

IDM1037НазваниеФильтрация сетевого трафикаОписание

Фильтруйте сетевой трафик для предотвращения использования ненужных протоколов на границе сети.

IDM1030НазваниеСегментация сетиОписание

Правильно настройте межсетевые экраны и прокси-серверы, чтобы ограничить исходящий трафик только необходимыми портами и через соответствующие сетевые шлюзы. Также проследите, чтобы хосты были настроены только на взаимодействие через авторизованные интерфейсы.