Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1205 , T1205.001 , T1205.002
Злоумышленники могут использовать нокинг портов, чтобы скрыть открытые порты, используемые для обеспечения постоянства или командования и управления. Чтобы открыть порт, злоумышленник отправляет серию попыток подключения к заранее определенной последовательности закрытых портов. После завершения последовательности открытие порта часто выполняется брандмауэром на базе хоста, но может быть реализовано и пользовательским программным обеспечением.
Эта техника наблюдалась как при динамическом открытии прослушиваемого порта, так и при инициировании соединения с прослушивающим сервером на другой системе.
Наблюдение за сигнальными пакетами для запуска связи может осуществляться различными методами. Один из них, первоначально реализованный Cd00r (цит. по: Hartrell cd00r 2002), заключается в использовании библиотек libpcap для обнаружения соответствующих пакетов.Другой метод использует "сырые" сокеты, что позволяет вредоносному ПО использовать порты, которые уже открыты для использования другими программами.
https://attack.mitre.org/techniques/T1205/001
Визуализация смежных техник для T1205.001
| № | Техника |
|---|
