Техника на mitre.org

T1573.002: Асимметричное шифрование

Злоумышленники могут использовать для маскировки трафика командного сервера известный асимметричный алгоритм шифрования, а не полагаться на встроенные средства защиты протокола связи. Асимметричное шифрование, или криптография с открытым ключом, полагается на пару ключей: открытый, который можно свободно распространять, и закрытый, который хранится в секрете. Порядок генерации этих ключей предполагает, что отправитель шифрует данные с помощью открытого ключа получателя, а получатель расшифровывает их своим закрытым ключом. Это гарантирует, что только предполагаемый получатель сможет расшифровать данные. Распространенные алгоритмы шифрования с открытым ключом — RSA и ElGamal.

Для повышения эффективности многие протоколы, включая SSL/TLS, используют симметричное шифрование для шифрования данных после установления соединения, а асимметричное — для обмена ключами и начальной настройки. В связи с этим подобные протоколы тоже считаются протоколами асимметричного шифрования.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_command_and_control: PT-CR-969: Ligolo_Reverse_Tunneling: Создание обратного туннеля с помощью утилиты Ligolo(-ng)

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Меры противодействия

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.

ID	M1020	Название	Проверка SSL/TLS	Описание	Проверка SSL/TLS может быть использована для просмотра содержимого зашифрованных сессий и поиска сетевых индикаторов протоколов взаимодействия вредоносного ПО.

ID	Название	Описание
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне.
M1020	Проверка SSL/TLS	Проверка SSL/TLS может быть использована для просмотра содержимого зашифрованных сессий и поиска сетевых индикаторов протоколов взаимодействия вредоносного ПО.