ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1030

术语表: /attack/glossary

数据传输大小限制

攻击者可以以固定大小的块而不是整个文件来窃取数据,或者将数据包大小限制在特定阈值内。该方法可避免触发网络数据传输阈值的告警。

缓解

使用网络签名来识别特定攻击者命令与控制基础架构和恶意软件的流量的网络入侵检测和防御系统可减少网络级活动。 签名通常是协议中唯一的标志,可能基于特定的攻击者或工具使用的特定混淆技术,并且可能在不同的恶意软件系列和版本之间有所不同。 攻击者可能会随着时间的推移修改工具命令与控制签名,或者以这种方式构造协议以规避常见的防御工具的检测。

检测

分析不常见数据流的网络数据(例如,客户端发送的数据远多于从服务器接收的数据)。 维持长时间连接并在此期间始终发送固定大小的数据包的进程,或打开连接并定期发送固定大小的数据包的进程可能正在执行聚合数据传输。 利用通常没有网络通信或以前从未见过的网络的进程是可疑的。 分析数据包内容以检测不遵循所使用端口的预期协议行为的通信。