Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1665 - Скрытие инфраструктуры

Техники:  T1665

Злоумышленники могут манипулировать сетевым трафиком, чтобы скрыть и обойти обнаружение своей инфраструктуры C2. Это может быть достигнуто различными способами, включая выявление и фильтрацию трафика средствами защиты,(Цитата: TA571) маскировку вредоносных доменов для скрытия истинного назначения от автоматизированных средств сканирования и исследователей безопасности,(Цитата: Schema-abuse)(Цитата: Facad1ng)(Цитата: Browser-updates) и другие способы сокрытия вредоносных артефактов для задержки обнаружения и продления эффективности инфраструктуры Злоумышленника, которая в противном случае может быть выявлена, заблокирована или полностью уничтожена.

Сети C2 могут включать использование Proxy или VPN для маскировки IP-адресов, что позволяет Злоумышленникам смешиваться с обычным сетевым трафиком и обходить политики условного доступа или средства защиты от злоупотреблений. Например, Злоумышленник может использовать виртуальное частное облако для подмены своего IP-адреса, чтобы он более точно соответствовал диапазону IP-адресов жертвы.Это также может обойти меры безопасности, основанные на геолокации IP-адреса источника.(Цит. по: sysdig)(Цит. по: Orange Residential Proxies)

Злоумышленники также могут пытаться фильтровать сетевой трафик, чтобы обойти защитные средства различными способами, включая блокирование/перенаправление обычных пользовательских агентов устройств реагирования на инциденты или устройств безопасности.(Цит. по: mod_rewrite)(Цит. по: SocGholish-update) Фильтрация трафика на основе IP и геозонирование также могут избежать автоматической песочницы или деятельности исследователей (например,Virtualization/Sandbox Evasion).(Цитата: TA571)(Цитата: mod_rewrite)

Сокрытие инфраструктуры C2 может также поддерживаться такими видами деятельности Resource Development, как Acquire Infrastructure и Compromise Infrastructure.Например, использование широко известных хостинговых услуг или доменов, таких как известные поставщики услуг по сокращению URL-адресов или маркетинговые службы для сетей C2, может позволить Злоумышленникам представлять доброкачественный контент, который впоследствии перенаправляет жертв на вредоносные веб-страницы или инфраструктуру при выполнении определенных условий.(Цит. по: StarBlizzard)(Цит. по: QR-cofense)

https://attack.mitre.org/techniques/T1665

← Назад

Визуализация смежных техник для T1665

Отрасль:
 с подтехниками
Техника

Закрыть