T1132: Кодирование данных
Злоумышленники могут кодировать данные, чтобы затруднить обнаружение трафика взаимодействия с командным сервером. Управляющая информация может быть закодирована с помощью стандартной системы кодирования данных. Схема кодирования данных может соответствовать существующим спецификациям протоколов, включая ASCII, Unicode, Base64 и MIME, или использовать другие системы кодирования символов и преобразования бинарных данных в текстовые. В некоторых системах кодирования данных также может выполняться сжатие данных, например в gzip.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен при помощи правил обнаруживать закодированные запросы к командному серверу (некоторые из этих правил, с префиксом SUSPICIOUS, не могут наверняка свидетельствовать о происходящей атаке и нуждаются в проверке оператором). Кроме того, множество фреймворков постэксплуатации и хакерских инструментов способны кодировать свои данные перед отправкой на командный сервер. Например, фреймворки постэксплуатации Cobalt Strike или Brute Ratel могут кодировать метаданные от агента в base64 перед отправкой на командный сервер. Подобная вредоносная активность может быть обнаружена при помощи правил или при помощи модулей ленты активностей.
Примеры правил обнаружения PT NAD
- SUSPICIOUS [PTsecurity] HostName in Base64 Exfil (sid 10006584)
- TOOLS [PTsecurity] Sliver C2 HTTP Key exchange (Base64gzip) (sid 10008538)
Модули обнаружения PT NAD
- Использование Cobalt Strike
- Использование Brute Ratel
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных (например, клиент отправляет значительно больше данных, чем получает от сервера). Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Анализируйте содержимое пакетов, чтобы выявить обмен данными, который не соответствует ожидаемому функционированию протокола для используемого порта. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретных вредоносных программ злоумышленника, могут быть использованы для снижения активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Вероятно, со временем злоумышленники будут менять сигнатуры инструментов C2 или строить протоколы таким образом, чтобы избежать обнаружения обычными защитными инструментами |
---|