ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1048

术语表: /attack/glossary

备用协议上的数据渗漏

使用与主要命令与控制协议或信道不同的协议执行数据窃取。数据很可能从主要命令与控制服务器发送到备用网络位置。备用协议包括 FTP,SMTP,HTTP/S,DNS 或其他一些网络协议。不同信道可以包括 Internet Web 服务,如云存储。

缓解

遵循网络防火墙配置的最佳实践,只允许必要的端口和流量进出网络。例如,如果在网络外部发送信息不需要 FTP 等服务,则在网络边界阻塞 FTP 相关端口。强制代理并使用专用服务器提供如 DNS 的服务,并且只允许这些系统通过相应的端口/协议进行通信,而不是网络中的所有系统。 这些行为将有助于减少命令与控制以及渗漏路径的机会。 使用网络签名来识别特定攻击者命令与控制基础架构和恶意软件的流量的网络入侵检测和防御系统可减少网络级活动。签名通常是针对协议中唯一的指示器,可能基于特定的攻击者或工具使用的特定混淆技术,并且可能在不同的恶意软件家族和版本之间有所不同。攻击者可能会随着时间的推移修改工具命令与控制签名,或者以这种方式构造协议以规避常见的防御工具的检测。

检测

为不常见的数据流分析网络数据(例如,客户端发送的数据远多于从服务器接收的数据)。使用通常没有网络通信或以前从未见过的网络的进程是可疑的。分析数据包内容以检测不符合所使用端口的预期协议行为的通信。