Техники: T1001 , T1001.001 , T1001.002 , T1001.003
Злоумышленники могут выдавать себя за легитимные протоколы или трафик веб-служб, чтобы замаскировать командно-контрольную деятельность и помешать анализу. Выдавая себя за легитимные протоколы или веб-службы, злоумышленники могут сделать так, чтобы их командно-контрольный трафик был смешан с легитимным сетевым трафиком.
Злоумышленники могут выдать себя за поддельное рукопожатие SSL/TLS, чтобы создать впечатление, что последующий трафик зашифрован SSL/TLS, что может помешать работе некоторых средств безопасности, или чтобы создать впечатление, что трафик связан с доверенной организацией.
Злоумышленники также могут использовать легитимные протоколы, чтобы выдать себя за ожидаемый веб-трафик или доверенные службы. Например, злоумышленники могут манипулировать заголовками HTTP, конечными точками URI, сертификатами SSL и передаваемыми данными для маскировки сообщений C2 или имитации легитимных служб, таких как Gmail, Google Drive и Yahoo Messenger.(Цитата: ESET Okrum July 2019)(Цитата: Malleable-C2-U42)
https://attack.mitre.org/techniques/T1001/003
Визуализация смежных техник для T1001.003
| № | Техника |
|---|
