T1102.003: Односторонняя связь
Злоумышленники могут использовать существующую легитимную стороннюю веб-службу для отправки команд в скомпрометированную систему без получения из нее ответов. Скомпрометированные системы могут использовать популярные веб-сайты и социальные сети для размещения управляющих инструкций. Зараженные системы могут затем отправлять результаты выполнения этих команд обратно по другому каналу связи с командным сервером (например, в другую веб-службу). Кроме того, скомпрометированные системы могут вообще не возвращать никаких данных в тех случаях, когда злоумышленникам нужно отправлять системе инструкции и не нужно получать от нее ответы.
Популярные веб-сайты и социальные сети, выступающие в качестве такого механизма управления, могут обеспечить эффективную маскировку в силу того, что коммуникация между ними и хостами в сети часто существует и до компрометации. Использование популярных сервисов, таких как предоставляемые Google или Twitter, помогает злоумышленникам скрыться в ожидаемом потоке трафика. Поставщики веб-служб часто используют шифрование SSL/TLS, что дает злоумышленникам дополнительный уровень защиты.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_command_and_control: PT-CR-2413: Connect_Suspicious_File_to_API_Telegram: Подозрительное подключение файла к сервису api.telegram.org
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Monitor for newly constructed network connections that are sent or received by untrusted hosts. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. |
---|
Меры противодействия
ID | M1021 | Название | Ограничения для веб-контента | Описание | Web proxies can be used to enforce external network communication policy that prevents use of unauthorized external services. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Network intrusion detection and prevention systems that use network signatures to identify traffic for specific adversary malware can be used to mitigate activity at the network level. |
---|