MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1102.002: Двусторонняя связь

Злоумышленники могут использовать существующую легитимную стороннюю веб-службу для отправки команд в скомпрометированную систему и получения из нее ответов. Скомпрометированные системы могут использовать популярные веб-сайты и социальные сети для размещения управляющих инструкций. Зараженные системы могут затем отправлять результаты выполнения этих команд обратно по каналу связи с веб-службой. Трафик возвращаемых данных может быть организован по-разному, в зависимости от используемой веб-службы. Например, могут использоваться следующие варианты организации трафика возвращаемых данных: скомпрометированная система публикует комментарий на форуме, или отправляет запрос на включение изменений в проект разработки, или обновляет размещенный в веб-службе документ, или публикует твит.

Популярные веб-сайты и социальные сети, выступающие в качестве такого механизма управления, могут обеспечить эффективную маскировку в силу того, что коммуникация между ними и хостами в сети часто существует и до компрометации. Использование популярных сервисов, таких как предоставляемые Google или Twitter, помогает злоумышленникам скрыться в ожидаемом потоке трафика. Поставщики веб-служб часто используют шифрование SSL/TLS, что дает злоумышленникам дополнительный уровень защиты.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1963: SupplyChain_TeamCity_Execution_via_Request: Включена возможность удаленного выполнения команд, и выполнен код. Злоумышленники, получив токен доступа к API TeamCity, могут включить опцию rest.debug.processes.enable, позволяющую выполнять команды на сервере с помощью POST-запросов
mitre_attck_command_and_control: PT-CR-2413: Connect_Suspicious_File_to_API_Telegram: Подозрительное подключение файла к сервису api.telegram.org
bind: PT-CR-2186: BIND_Telegram_Bot_API_Request_Detection: Запрос параметров DNS для ресурса Telegram API. Злоумышленники отправляют подобные запросы для выполнения команд и последующей компроментации системы
dnsmasq: PT-CR-2201: Dnsmasq_Telegram_Bot_API_Request_Detection: Подозрительные DNS-запросы к api.telegram.org, используемые ботами Telegram любого типа

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)).

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Monitor for newly constructed network connections that are sent or received by untrusted hosts.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Network intrusion detection and prevention systems that use network signatures to identify traffic for specific adversary malware can be used to mitigate activity at the network level.

IDM1021НазваниеОграничения для веб-контентаОписание

Web proxies can be used to enforce external network communication policy that prevents use of unauthorized external services.