ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1029

术语表: /attack/glossary

计划传输

数据渗漏可以仅在一天的特定时间或以特定间隔进行。这样可以将流量模式与正常活动或使用混合。 当有计划地进行数据渗漏时,通常也会使用其他渗漏技术来将信息传出网络,例如命令与控制信道上的数据渗漏和备用协议的数据渗漏。

缓解

使用网络签名来识别特定攻击者命令与控制基础架构和恶意软件的流量的网络入侵检测和防御系统可减少网络级活动。 签名通常是协议中唯一的标志,可能基于特定的攻击者或工具使用的特定混淆技术,并且可能在不同的恶意软件系列和版本之间有所不同。 攻击者可能会随着时间的推移修改工具命令与控制签名,或者以这种方式构造协议以规避常见的防御工具的检测。

检测

监视进程文件访问模式和网络行为。 看起来正在遍历文件系统并发送网络流量的无法识别的进程或脚本可能是可疑的。 持续多天在一天的同一时间出现且目的地相同的网络连接是可疑的。