T1568.003: Расчет на основе DNS
Злоумышленники могут проводить вычисления с адресами из ответов на DNS-запросы с целью определить, какой порт и IP-адрес использовать для связи с командным сервером, вместо того чтобы полагаться на заранее определенные порты или фактические возвращенные IP-адреса. Расчет IP-адреса и (или) номера порта может помочь обойти исходящую фильтрацию на канале связи с командным сервером.
Одна из реализаций расчета на основе DNS заключается в использовании первых трех октетов IP-адреса из ответа DNS для вычисления порта для связи с командным сервером.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
|---|