ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1090

术语表: /attack/glossary

连接代理

连接代理用于在系统之间引导网络流量或充当网络通信的中介。有许多工具支持通过代理或端口重定向进行流量重定向,如 HTRAN、ZXProxy 和 ZXPortMap。

还可以扩展代理的定义,使其包含网络之间点对点,网状的信任关系,或由定期彼此通信的主机或系统组成的网络之间的可信连连接。

网络可以位于单个组织内,也可以跨互相信任的组织。攻击者可以使用这些类型的关系来管理命令与控制通信,减少同时出站的网络连接的数量,在连接丢失时提供弹性,或者利用受害者之间现有的可信通信路径来避免怀疑。

缓解

使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可用于减少网络级别的活动。 签名通常是协议中唯一的标志,可能基于特定的攻击者或工具使用的特定协议,并且可能在不同的恶意软件系列和版本之间不同。 攻击者可能会随着时间的推移修改工具 C2 签名,或者以这种方式构造协议以规避常见的防御工具的检测。

检测

利用通常没有网络通信或以前从未见过的网络的进程是可疑的。 与通常需要用户指示的进程的用户驱动操作分离的网络活动是可疑的。 分析不常见的数据流的网络数据(例如,客户端发送的数据比从服务器接收的数据多得多,或者不应该或通常不相互通信的客户端之间发送的数据)。 分析数据包内容以检测不遵循正在使用的端口的预期协议行为的通信。