ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1509

术语表: /attack/glossary

常用端口

对手可能会使用非标准端口来窃取信息。

Adversaries may use non-standard ports to exfiltrate information.

标签

ID编号: T1509

战术类型: 事后访问设备

策略: 命令与控制

平台: Android,iOS

程序示例

名称 描述
Exodus(S0405) Exodus(S0405)两次尝试连接到端口22011以提供远程反向外壳。
FlexiSpy(S0408) FlexiSpy(S0408)可以通过端口12512和12514与命令和控制服务器进行通信。
Name Description
Exodus(S0405) Exodus(S0405) Two attempts to connect to port 22011 to provide a remote reverse shell.
FlexiSpy(S0408) FlexiSpy(S0408) can communicate with the command and control server over ports 12512 and 12514.

缓解措施

减轻 描述
应用审查 应用程序审查报告可以显示由应用程序执行的网络通信,包括主机,端口,协议和URL。
Mitigation Description
Application Vetting Application vetting reports may show network communications performed by the application, including hosts, ports, protocols, and URLs.

检测

通过数据包和/或网络流检查,检测很可能是在企业级别。许多配置正确的防火墙也可以自然地阻止命令并控制非标准端口上的流量。

Detection would most likely be at the enterprise level, through packet and/or netflow inspection. Many properly configured firewalls may also naturally block command and control traffic over non-standard ports.