Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1071 , T1071.001 , T1071.002 , T1071.003 , T1071.004 , T1071.005
Вредоносные программы могут осуществлять обмен данными с помощью протоколов прикладного уровня, связанных с передачей файлов, чтобы избежать обнаружения/сетевой фильтрации, смешиваясь с существующим трафиком. Команды удаленной системе, а зачастую и результаты этих команд, будут встроены в трафик протокола между клиентом и сервером.
Такие протоколы, как SMB (цит. по: US-CERT TA18-074A), FTP (цит. по: ESET Machete July 2019), FTPS и TFTP, по которым передаются файлы, могут быть очень распространены в среде. Пакеты, создаваемые этими протоколами, могут содержать множество полей и заголовков, в которых могут быть скрыты данные. Данные также могут быть скрыты внутри передаваемых файлов.Злоумышленники могут злоупотреблять этими протоколами для связи с подконтрольными им системами в сети жертвы, имитируя при этом обычный, ожидаемый трафик.
https://attack.mitre.org/techniques/T1071/002
Визуализация смежных техник для T1071.002
| № | Техника |
|---|
