Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1071 , T1071.001 , T1071.002 , T1071.003 , T1071.004 , T1071.005
Злоумышленники могут обмениваться данными, используя протоколы прикладного уровня OSI, чтобы избежать обнаружения/сетевой фильтрации, смешиваясь с существующим трафиком. Команды удаленной системе, а зачастую и результаты их выполнения, будут встроены в трафик протокола между клиентом и сервером.
Злоумышленники могут использовать множество различных протоколов, включая протоколы, используемые для просмотра веб-страниц, передачи файлов, электронной почты, DNS или публикации/подписки. Для соединений, которые происходят внутри анклава (например, между прокси- или поворотным узлом и другими узлами), обычно используются протоколы SMB, SSH или RDP.(Цит. по: Mandiant APT29 Eye Spy Email Nov 22)
https://attack.mitre.org/techniques/T1071
Визуализация смежных техник для T1071
| № | Техника |
|---|
