PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1132: Кодирование данных

Злоумышленники могут кодировать данные, чтобы затруднить обнаружение трафика взаимодействия с командным сервером. Управляющая информация может быть закодирована с помощью стандартной системы кодирования данных. Схема кодирования данных может соответствовать существующим спецификациям протоколов, включая ASCII, Unicode, Base64 и MIME, или использовать другие системы кодирования символов и преобразования бинарных данных в текстовые. В некоторых системах кодирования данных также может выполняться сжатие данных, например в gzip.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен при помощи правил обнаруживать закодированные запросы к командному серверу (некоторые из этих правил, с префиксом SUSPICIOUS, не могут наверняка свидетельствовать о происходящей атаке и нуждаются в проверке оператором). Кроме того, множество фреймворков постэксплуатации и хакерских инструментов способны кодировать свои данные перед отправкой на командный сервер. Например, фреймворки постэксплуатации Cobalt Strike или Brute Ratel могут кодировать метаданные от агента в base64 перед отправкой на командный сервер. Подобная вредоносная активность может быть обнаружена при помощи правил или при помощи модулей ленты активностей.

Примеры правил обнаружения PT NAD

  • SUSPICIOUS [PTsecurity] HostName in Base64 Exfil (sid 10006584)
  • TOOLS [PTsecurity] Sliver C2 HTTP Key exchange (Base64gzip) (sid 10008538)

Модули обнаружения PT NAD

  • Использование Cobalt Strike
  • Использование Brute Ratel

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных (например, клиент отправляет значительно больше данных, чем получает от сервера). Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Анализируйте содержимое пакетов, чтобы выявить обмен данными, который не соответствует ожидаемому функционированию протокола для используемого порта.

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретных вредоносных программ злоумышленника, могут быть использованы для снижения активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Вероятно, со временем злоумышленники будут менять сигнатуры инструментов C2 или строить протоколы таким образом, чтобы избежать обнаружения обычными защитными инструментами