T1102.001: "Закладка" с данными
Злоумышленники могут использовать существующую легитимную внешнюю веб-службу для размещения информации, указывающей на дополнительную командную инфраструктуру. Злоумышленники могут размещать в веб-службах содержимое, известное как "закладка" с данными, где хранится (нередко обфусцированная или закодированная) информация о доменах или IP-адресах. После заражения жертва взаимодействует с этими "закладками", которые перенаправляют ее запросы.
Популярные веб-сайты и социальные сети, выступающие в качестве такого механизма управления, могут обеспечить эффективную маскировку в силу того, что коммуникация между ними и хостами в сети часто существует и до компрометации. Использование популярных сервисов, таких как предоставляемые Google или Twitter, помогает злоумышленникам скрыться в ожидаемом потоке трафика. Поставщики веб-служб часто используют шифрование SSL/TLS, что дает злоумышленникам дополнительный уровень защиты.
Использование "закладок" с данными также позволяет защитить внутреннюю командную инфраструктуру от обнаружения посредством анализа бинарных файлов вредоносного ПО, а также обеспечить гибкость работы (поскольку эта инфраструктура может динамически меняться).
Способы обнаружения
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
|---|
Меры противодействия
| ID | M1021 | Название | Ограничения для веб-контента | Описание | Для реализации политики внешних сетевых коммуникаций, предотвращающей использование несанкционированных внешних сервисов, можно использовать веб-прокси. |
|---|
| ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. |
|---|