ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1521

术语表: /attack/glossary

标准加密协议

对手可能会明确采用已知的加密算法来隐藏命令和控制流量,而不是依赖于通信协议提供的任何固有保护。尽管使用了安全算法,但是如果在恶意软件样本/配置文件中对必要的秘密密钥进行了编码和/或生成,则这些实现可能容易受到逆向工程的影响。

Adversaries may explicitly employ a known encryption algorithm to conceal command and control traffic rather than relying on any inherent protections provided by a communication protocol. Despite the use of a secure algorithm, these implementations may be vulnerable to reverse engineering if necessary secret keys are encoded and/or generated within malware samples/configuration files.

标签

ID编号: T1521

战术类型: 事后访问设备

策略: 命令与控制

平台: Android,iOS

程序示例

名称 描述
Rotexy(S0411) Rotexy(S0411) 使用AES加密JSON HTTP有效负载。
Name Description
Rotexy(S0411) Rotexy(S0411) encrypts JSON HTTP payloads with AES.

缓解措施

这种攻击技术无法通过预防性控制轻松缓解,因为它基于滥用系统功能。

This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.

检测

由于数据加密是许多合法应用程序中的普遍做法,并且使用特定于标准编程语言的API,因此用户无法检测到用于命令和控制通信的数据加密。

Since data encryption is a common practice in many legitimate applications and uses standard programming language-specific APIs, encrypting data for command and control communication is undetectable to the user.