Техника на mitre.org

T1571: Нестандартный порт

Злоумышленники могут использовать подключения с нестандартными сочетаниями протоколов и портов. Например, протокол HTTPS через порт 8088 или порт 587 вместо традиционного порта 443. Злоумышленники могут изменить стандартный порт, используемый протоколом, чтобы обойти фильтрацию или усложнить анализ сетевого трафика.

Злоумышленники могут также настроить систему жертвы на использование нестандартных портов. Например, сочетания протоколов и портов могут изменяться с помощью ключей реестра и других параметров конфигурации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

network_devices_abnormal_activity: PT-CR-476: UDP_Fragments: Обнаружен подозрительный UDP-трафик mitre_attck_command_and_control: PT-CR-612: Subrule_Connection_System_Process: Процесс с системными привилегиями открыл сетевое соединение mitre_attck_command_and_control: PT-CR-467: Suspicious_Connection: Обнаружено сетевое обращение исполняемых файлов mitre_attck_command_and_control: PT-CR-2814: Suspicious_Connection_System_Process: Сетевое соединение, созданное процессом с системными привилегиями, после того, как получен доступ к нему, создан поток в его адресном пространстве, загружена подозрительная DLL-библиотека или запущен дочерний процесс mitre_attck_command_and_control: PT-CR-611: Suspicious_Connection_After_Imageload: Процесс открыл сетевое соединение после загрузки библиотеки mitre_attck_command_and_control: PT-CR-2808: Subrule_Suspicious_Connection_System_Process: Вспомогательное правило для обнаружения сетевых соединений, созданных процессом с системными привилегиями, после того, как получен доступ к нему, создан поток в его адресном пространстве, загружена подозрительная DLL-библиотека или запущен дочерний процесс

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Анализируйте содержимое пакетов, чтобы выявить обмен данными, который не соответствует ожидаемому функционированию протокола для используемого порта.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте в потоках сетевых данных неожиданные шаблоны и метаданные, которые могут указывать на несоответствие между протоколом и используемым портом.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Анализируйте содержимое пакетов, чтобы выявить обмен данными, который не соответствует ожидаемому функционированию протокола для используемого порта.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте в потоках сетевых данных неожиданные шаблоны и метаданные, которые могут указывать на несоответствие между протоколом и используемым портом.

Меры противодействия

ID	M1030	Название	Сегментация сети	Описание	Правильно настройте межсетевые экраны и прокси-серверы, чтобы ограничить исходящий трафик только теми портами, которые необходимы для данного сегмента сети.

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

ID	Название	Описание
M1030	Сегментация сети	Правильно настройте межсетевые экраны и прокси-серверы, чтобы ограничить исходящий трафик только теми портами, которые необходимы для данного сегмента сети.
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.