Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1071 , T1071.001 , T1071.002 , T1071.003 , T1071.004 , T1071.005
Вредоносные программы могут передавать сообщения, используя протоколы прикладного уровня, связанные с доставкой электронной почты, чтобы избежать обнаружения/сетевой фильтрации, смешиваясь с существующим трафиком. Команды удаленной системе, а зачастую и результаты этих команд, будут встроены в трафик протокола между клиентом и сервером.
Такие протоколы, как SMTP/S, POP3/S и IMAP, передающие электронную почту, могут быть очень распространены в среде. Пакеты, создаваемые этими протоколами, могут содержать множество полей и заголовков, в которых могут быть скрыты данные. Данные также могут быть скрыты в самих сообщениях электронной почты.Злоумышленник может злоупотреблять этими протоколами для связи с подконтрольными ему системами в сети жертвы, имитируя при этом обычный, ожидаемый трафик.(Цитата: FireEye APT28)
https://attack.mitre.org/techniques/T1071/003
Визуализация смежных техник для T1071.003
| № | Техника |
|---|
