ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1001

术语表: /attack/glossary

数据混淆

隐藏命令与控制(C2)通信(但不一定加密)以使内容更难以被发现或解密,并使通信和命令更加隐蔽。这包括许多方法,例如将垃圾数据添加到协议流量,使用隐写术,将合法流量与 C2 通信流量混合,或使用非标准数据编码系统,如针对 HTTP 请求消息体的修改的 Base64 编码。

缓解

使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可用于缓解网络级别的活动。签名通常用于协议内的唯一指示符,并且可以基于特定攻击者或工具使用的特定混淆技术,并且可能在各种恶意软件系列和版本之间不同。攻击者可能会随着时间的推移改变工具 C2 签名或构建协议,以避免被常见的防御工具检测到。[19]

检测

分析不常见数据流的网络数据(例如,客户端发送的数据明显多于从服务器接收的数据)。利用通常不具有网络通信或从未见过的网络的进程是可疑的。分析数据包内容以检测不遵循正在使用的端口的预期协议行为的通信。[19]