Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1071 , T1071.001 , T1071.002 , T1071.003 , T1071.004 , T1071.005
Вредоносные программы могут обмениваться данными, используя протоколы прикладного уровня, связанные с веб-трафиком, чтобы избежать обнаружения/сетевой фильтрации, смешиваясь с существующим трафиком. Команды удаленной системе, а зачастую и результаты этих команд, будут встроены в трафик протокола между клиентом и сервером.
Такие протоколы, как HTTP/S (цит. по: CrowdStrike Putter Panda) и WebSocket (цит. по: Brazking-Websockets), которые передают веб-трафик, могут быть очень распространены в среде. Пакеты HTTP/S имеют множество полей и заголовков, в которых могут быть скрыты данные.Злоумышленник может злоупотреблять этими протоколами для связи с подконтрольными ему системами в сети жертвы, имитируя при этом обычный, ожидаемый трафик.
https://attack.mitre.org/techniques/T1071/001
Визуализация смежных техник для T1071.001
| № | Техника |
|---|
