PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1573.001: Симметричное шифрование

Злоумышленники могут использовать для маскировки трафика командного сервера известный симметричный алгоритм шифрования, а не полагаться на встроенные средства защиты протокола связи. В симметричных алгоритмах для шифрования и дешифрования текста применяется один и тот же ключ. Распространенные алгоритмы симметричного шифрования — AES, DES, 3DES, Blowfish и RC4.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен автоматически определять шифрованные соединения и проставлять для них соответствующую метку, а также обнаруживать соединения с командными серверами по зашифрованным каналам с использованием симметричных алгоритмов шифрования — при помощи правил обнаружения и репутационных списков. В арсенале продукта большое количество правил для обнаружения соединений вредоносного ПО с командными серверами и для обнаружения активности фреймворков постэксплуатации и инструментов злоумышленников.

Примеры правил обнаружения PT NAD

  • REMOTE [PTsecurity] Xworm Ping (sid 10008313)

Примеры фильтров PT NAD

  • app_proto == "encrypted"

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.