Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1071 , T1071.001 , T1071.002 , T1071.003 , T1071.004 , T1071.005
Вредоносные программы могут осуществлять обмен данными с помощью протокола прикладного уровня системы доменных имен (DNS), чтобы избежать обнаружения/сетевой фильтрации путем смешивания с существующим трафиком. Команды удаленной системе, а зачастую и результаты этих команд, будут встроены в трафик протокола между клиентом и сервером.
Протокол DNS выполняет административную функцию в компьютерных сетях и поэтому может быть очень распространен в среде. Трафик DNS может быть разрешен даже до завершения сетевой аутентификации. Пакеты DNS содержат множество полей и заголовков, в которых могут быть скрыты данные.Часто известное как DNS-туннелирование, злоумышленники могут злоупотреблять DNS для связи с подконтрольными им системами в сети жертвы, имитируя при этом обычный, ожидаемый трафик.(Цитата: PAN DNS Tunneling)(Цитата: Medium DnsTunneling)
https://attack.mitre.org/techniques/T1071/004
Визуализация смежных техник для T1071.004
| № | Техника |
|---|
