Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1048 , T1048.001 , T1048.002 , T1048.003
Злоумышленники могут похищать данные, передавая их по протоколу, отличному от существующего командно-контрольного канала. Данные также могут быть отправлены в альтернативное сетевое местоположение с главного командно-контрольного сервера.
К альтернативным протоколам относятся FTP, SMTP, HTTP/S, DNS, SMB или любой другой сетевой протокол, не используемый в качестве основного канала управления. Злоумышленники могут также шифровать и/или обфусцировать эти альтернативные каналы.
Exfiltration Over Alternative Protocol может осуществляться с помощью различных распространенных утилит операционной системы, таких как Net/SMB или FTP.(Цитата: Palo Alto OilRig Oct 2016) В macOS и Linux curl может использоваться для вызова таких протоколов, как HTTP/S или FTP/S, для утечки данных из системы.(Цитата: 20 распространенных инструментов и техник для macOS)
Многие платформы IaaS и SaaS (такие как Microsoft Exchange, Microsoft SharePoint, GitHub и AWS S3) поддерживают прямую загрузку файлов, электронных писем, исходного кода и другой конфиденциальной информации через веб-консоль или Cloud API.
https://attack.mitre.org/techniques/T1048
Визуализация смежных техник для T1048
| № | Техника |
|---|
