MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1102.003: Односторонняя связь

Злоумышленники могут использовать существующую легитимную стороннюю веб-службу для отправки команд в скомпрометированную систему без получения из нее ответов. Скомпрометированные системы могут использовать популярные веб-сайты и социальные сети для размещения управляющих инструкций. Зараженные системы могут затем отправлять результаты выполнения этих команд обратно по другому каналу связи с командным сервером (например, в другую веб-службу). Кроме того, скомпрометированные системы могут вообще не возвращать никаких данных в тех случаях, когда злоумышленникам нужно отправлять системе инструкции и не нужно получать от нее ответы.

Популярные веб-сайты и социальные сети, выступающие в качестве такого механизма управления, могут обеспечить эффективную маскировку в силу того, что коммуникация между ними и хостами в сети часто существует и до компрометации. Использование популярных сервисов, таких как предоставляемые Google или Twitter, помогает злоумышленникам скрыться в ожидаемом потоке трафика. Поставщики веб-служб часто используют шифрование SSL/TLS, что дает злоумышленникам дополнительный уровень защиты.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_command_and_control: PT-CR-2413: Connect_Suspicious_File_to_API_Telegram: Подозрительное подключение файла к сервису api.telegram.org

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Monitor for newly constructed network connections that are sent or received by untrusted hosts.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious.

Меры противодействия

IDM1021НазваниеОграничения для веб-контентаОписание

Web proxies can be used to enforce external network communication policy that prevents use of unauthorized external services.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Network intrusion detection and prevention systems that use network signatures to identify traffic for specific adversary malware can be used to mitigate activity at the network level.