Техника на mitre.org

T1571: Нестандартный порт

Злоумышленники могут использовать подключения с нестандартными сочетаниями протоколов и портов. Например, протокол HTTPS через порт 8088 или порт 587 вместо традиционного порта 443. Злоумышленники могут изменить стандартный порт, используемый протоколом, чтобы обойти фильтрацию или усложнить анализ сетевого трафика.

Злоумышленники могут также настроить систему жертвы на использование нестандартных портов. Например, сочетания протоколов и портов могут изменяться с помощью ключей реестра и других параметров конфигурации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

network_devices_abnormal_activity: PT-CR-476: UDP_Fragments: Обнаружен подозрительный UDP-трафик mitre_attck_command_and_control: PT-CR-611: Suspicious_Connection_After_Imageload: Процесс открыл сетевое соединение после загрузки библиотеки mitre_attck_command_and_control: PT-CR-612: Suspicious_Connection_System_Process: Процесс обратился на сетевой адрес mitre_attck_command_and_control: PT-CR-467: Suspicious_Connection: Обнаружено сетевое обращение исполняемых файлов

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте в потоках сетевых данных неожиданные шаблоны и метаданные, которые могут указывать на несоответствие между протоколом и используемым портом.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Анализируйте содержимое пакетов, чтобы выявить обмен данными, который не соответствует ожидаемому функционированию протокола для используемого порта.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте в потоках сетевых данных неожиданные шаблоны и метаданные, которые могут указывать на несоответствие между протоколом и используемым портом.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Анализируйте содержимое пакетов, чтобы выявить обмен данными, который не соответствует ожидаемому функционированию протокола для используемого порта.

Меры противодействия

ID	M1030	Название	Сегментация сети	Описание	Правильно настройте межсетевые экраны и прокси-серверы, чтобы ограничить исходящий трафик только теми портами, которые необходимы для данного сегмента сети.

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

ID	Название	Описание
M1030	Сегментация сети	Правильно настройте межсетевые экраны и прокси-серверы, чтобы ограничить исходящий трафик только теми портами, которые необходимы для данного сегмента сети.
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.