ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1071

术语表: /attack/glossary

标准应用层协议

攻击者可以使用通用的标准化应用层协议(如 HTTP,HTTPS,SMTP 或 DNS)进行通信,以通过与现有通信流混合来避免检测。远程系统的命令,一般还有命令的执行结果,将嵌入到客户端与服务器之间的协议流量中。

对于在 enclave 内部发生的连接(例如代理或主节点与其他节点之间的连接),常用的协议有 RPC, SSH, or RDP.

缓解

使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可用于减少网络级别的活动。 签名通常作为协议中的唯一标志,并且在不同的恶意软件系列和版本中会有所不同。 攻击者可能会随着时间的推移修改工具签名,或者以这种方式构造协议以规避常见防御工具的检测。

检测

分析不常见数据流的网络数据(例如,客户端发送的数据远多于从服务器接收的数据)。 利用通常没有网络通信或以前从未见过的网络的进程是可疑的。 分析数据包内容以检测不遵循正在使用的端口的预期协议的应用程序层协议。