MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1102: Веб-служба

Злоумышленники могут использовать существующую легитимную стороннюю веб-службу для передачи данных в скомпрометированную систему и обратно. Популярные веб-сайты и социальные сети, выступающие в качестве такого механизма управления, могут обеспечить эффективную маскировку в силу того, что коммуникация между ними и хостами в сети часто существует и до компрометации. Использование популярных сервисов, таких как предоставляемые Google или Twitter, помогает злоумышленникам скрыться в ожидаемом потоке трафика. Поставщики веб-служб часто используют шифрование SSL/TLS, что дает злоумышленникам дополнительный уровень защиты.

Использование веб-служб также позволяет защитить внутреннюю командную инфраструктуру от обнаружения посредством анализа бинарных файлов вредоносного ПО, а также обеспечить гибкость работы (поскольку эта инфраструктура может динамически меняться).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_command_and_control: PT-CR-2413: Connect_Suspicious_File_to_API_Telegram: Подозрительное подключение файла к сервису api.telegram.org

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретных вредоносных программ злоумышленника, могут быть использованы для снижения активности на сетевом уровне.

IDM1021НазваниеОграничения для веб-контентаОписание

Можно использовать веб-прокси, чтобы реализовать политику внешних сетевых коммуникаций, которая предотвращает использование несанкционированных внешних сервисов.