ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1095

术语表: /attack/glossary

标准非应用层协议

在主机和 C2 服务器之间或在网络中受感染的主机之间使用标准的非应用层协议进行通信。涉及到协议很广。 具体示例包括网络层协议如 Internet 控制消息协议 (ICMP)、传输层协议如用户数据报协议 (UDP)、会话层协议如套接字安全协议 (SOCKS),以及重定向/隧道协议如 LAN 上的串行协议 (SOL)。 主机之间的 ICMP 通信就是一个例子。因为 ICMP 是 Internet 协议套件的一部分,需要由所有兼容 ip 的主机实现;但它不像 TCP 或 UDP 等其他 Internet 协议那样经常受到监视,可以被攻击者来隐藏通信。

缓解

正确配置防火墙和代理,将出站流量限制在必要的端口并使其通过适当的网络网关系统。 还要确保仅允许主机通过授权接口进行通信。 使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可用于减少网络级别的活动。 签名通常是协议中唯一的标志,可能基于特定的攻击者或工具使用的特定混淆技术,并且可能在不同的恶意软件系列和版本之间有所不同。 攻击者可能会随着时间的推移修改工具 C2 签名,或者以这种方式构造协议以规避常见的防御工具的检测。

检测

分析 ICMP 消息或其他协议的网络流量,这些协议包含异常或在网络内或网络外通常看不到的数据。 分析不常见数据流的网络数据(例如,客户端发送的数据远多于从服务器接收的数据)。 利用通常没有网络通信或以前从未见过的网络的进程是可疑的。 分析数据包内容以检测不遵循正在使用的端口的预期协议行为的通信。

监视和调查与启用和/或使用备用通信信道相关的函数的 API 调用。