T1132.001: Стандартное кодирование
Злоумышленники могут кодировать данные с помощью стандартной системы кодирования, чтобы затруднить обнаружение трафика взаимодействия с командным сервером. Управляющая информация может быть закодирована с помощью стандартной системы кодирования данных, соответствующей существующим спецификациям протоколов. К распространенным способам кодирования данных можно отнести такие схемы, как ASCII, Unicode, шестнадцатеричная система, Base64 и MIME. В некоторых системах кодирования данных также может выполняться сжатие данных, например в gzip.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных (например, клиент отправляет значительно больше данных, чем получает от сервера). Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Анализируйте содержимое пакетов, чтобы выявить обмен данными, который не соответствует ожидаемому функционированию протокола для используемого порта. |
---|
Меры противодействия
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Сигнатуры часто предназначены для уникальных индикаторов в протоколах и могут быть основаны на конкретной технике обфускации, используемой конкретным злоумышленником или инструментом, и, вероятно, будут отличаться в различных семействах и версиях вредоносных программ. Также логично ожидать, что злоумышленники будут со временем менять сигнатуры своих инструментов управления или пытаться строить протоколы таким образом, чтобы избежать обнаружения обычными средствами защиты. |
---|