Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1071 , T1071.001 , T1071.002 , T1071.003 , T1071.004 , T1071.005
Злоумышленники могут обмениваться данными, используя протоколы прикладного уровня publish/subscribe (pub/sub), чтобы избежать обнаружения/сетевой фильтрации, смешиваясь с существующим трафиком. Команды удаленной системе, а зачастую и результаты этих команд, будут встроены в трафик протокола между клиентом и сервером.
Такие протоколы, как MQTT, XMPP, AMQP и STOMP, используют схему публикации/подписки, при этом распределением сообщений управляет централизованный брокер.(Цитата: wailing crab sub/pub)(Цитата: Mandiant APT1 Appendix) Издатели распределяют свои сообщения по темам, а подписчики получают сообщения в соответствии с их темами, на которые они подписаны. (Цитата: wailing crab sub/pub) Злоумышленники могут злоупотреблять протоколами публикации/подписки для связи с подконтрольными им системами из-за брокера сообщений, имитируя при этом обычный, ожидаемый трафик.
https://attack.mitre.org/techniques/T1071/005
Визуализация смежных техник для T1071.005
| № | Техника |
|---|
