ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1079

术语表: /attack/glossary

多层加密

攻击者使用多层加密来执行 C2 通信,通常(但不完全)在协议加密方案(如 HTTPS 或 SMTPS) 中隧道化自定义加密方案。­

缓解

使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可用于减少网络级别的活动。 由于签名流量能力的简化,使用加密协议可能会使典型的基于网络的 C2 检测更加困难。 提前了解攻击者 C2 基础设施可能对拦截域和 IP 地址有用,但一般不是有效的长期解决方案,因为攻击者经常会改变基础设施。

检测

如果恶意软件使用标准加密协议,可以使用 SSL/TLS 检查来检测某些加密通信通道中的命令与控制流量。 SSL/TLS 检查会伴随着某些风险,在实施之前应该考虑这些风险以避免潜在的安全问题,例如不完整的证书验证。 在 SSL/TLS 检查后可能需要额外的加密分析来分析第二层加密。 使用自定义加密协议,如果恶意软件使用带有对称密钥的加密,则可以从样本中获取算法和密钥,并使用它们来解码网络流量以检测恶意软件通信签名。

通常,分析不常见的数据流的网络数据(例如,客户端发送的数据远多于从服务器接收的数据)。 利用通常没有网络通信或以前从未见过的网络的进程是可疑的。 分析数据包内容以检测不遵循正在使用的端口的预期协议行为的通信。