T1102.002: Двусторонняя связь
Злоумышленники могут использовать существующую легитимную стороннюю веб-службу для отправки команд в скомпрометированную систему и получения из нее ответов. Скомпрометированные системы могут использовать популярные веб-сайты и социальные сети для размещения управляющих инструкций. Зараженные системы могут затем отправлять результаты выполнения этих команд обратно по каналу связи с веб-службой. Трафик возвращаемых данных может быть организован по-разному, в зависимости от используемой веб-службы. Например, могут использоваться следующие варианты организации трафика возвращаемых данных: скомпрометированная система публикует комментарий на форуме, или отправляет запрос на включение изменений в проект разработки, или обновляет размещенный в веб-службе документ, или публикует твит.
Популярные веб-сайты и социальные сети, выступающие в качестве такого механизма управления, могут обеспечить эффективную маскировку в силу того, что коммуникация между ними и хостами в сети часто существует и до компрометации. Использование популярных сервисов, таких как предоставляемые Google или Twitter, помогает злоумышленникам скрыться в ожидаемом потоке трафика. Поставщики веб-служб часто используют шифрование SSL/TLS, что дает злоумышленникам дополнительный уровень защиты.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
supply_chain: PT-CR-1963: SupplyChain_TeamCity_Execution_via_Request: Включена возможность удаленного выполнения команд, и выполнен код. Злоумышленники, получив токен доступа к API TeamCity, могут включить опцию rest.debug.processes.enable, позволяющую выполнять команды на сервере с помощью POST-запросов
mitre_attck_command_and_control: PT-CR-2413: Connect_Suspicious_File_to_API_Telegram: Подозрительное подключение файла к сервису api.telegram.org
bind: PT-CR-2186: BIND_Telegram_Bot_API_Request_Detection: Запрос параметров DNS для ресурса Telegram API. Злоумышленники отправляют подобные запросы для выполнения команд и последующей компроментации системы
dnsmasq: PT-CR-2201: Dnsmasq_Telegram_Bot_API_Request_Detection: Подозрительные DNS-запросы к api.telegram.org, используемые ботами Telegram любого типа
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Monitor for newly constructed network connections that are sent or received by untrusted hosts. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Network intrusion detection and prevention systems that use network signatures to identify traffic for specific adversary malware can be used to mitigate activity at the network level. |
---|
ID | M1021 | Название | Ограничения для веб-контента | Описание | Web proxies can be used to enforce external network communication policy that prevents use of unauthorized external services. |
---|