Техника на mitre.org

T1104: Отдельный канал для каждого этапа

Злоумышленники могут разбить свою схему управления на несколько этапов, каждый из которых будет использоваться при определенных условиях или для конкретных целей. Многоэтапная схема позволяет обфусцировать канал управления, чтобы затруднить его обнаружение.

Средства удаленного доступа будут обращаться за инструкциями к командному серверу первого этапа. На первом этапе могут применяться автоматические средства для сбора базовой информации о хосте, обновления инструментов и загрузки дополнительных файлов. После этого может быть загружено второе средство удаленного доступа (RAT), которое будет выполнять перенаправление запросов с хоста на командный сервер второго этапа. На втором этапе, скорее всего, будет реализован более широкий набор функций, позволяющий злоумышленнику взаимодействовать с системой через обратное соединение и дополнительные функции RAT.

Серверы различных этапов, скорее всего, будут размещаться отдельно, без пересечения инфраструктур. Загрузчик также может иметь резервные каналы для обратного вызова первого этапа или иные резервные каналы на случай, если первоначальный канал связи первого этапа будет обнаружен и заблокирован.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD умеет с помощью правил обнаруживать соединения вредоносного ПО с командными серверами, активность фреймворков постэксплуатации и хакерских инструментов по всем известным протоколам и механизмам коммуникации, включая TLS/SSL.

Примеры правил обнаружения PT NAD

SHELL [PTsecurity] Meterpreter SMB-PIPE session opened: RSA2048 key exchange (sid 10003755)
TOOLS [PTsecurity] Meterpreter HTTPS polling (sid 10008430)

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с недоверенными узлами.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с недоверенными узлами.

Меры противодействия

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

ID	Название	Описание
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.