Главная страница » MITRE ATT&CK
0
1 час
MITRE ATT&CK

MITRE ATT&CK T1071 - Протокол прикладного уровня

MITRE ATT&CK

Модель Open System Interconnection (OSI) - это концептуальная основа, используемая для понимания и стандартизации функций сетевого взаимодействия. Модель OSI разделена на семь уровней, каждый из которых отвечает за выполнение определенных задач, связанных с передачей данных между устройствами в сети. Самый верхний уровень в модели OSI - это прикладной уровень, а протоколы, которые работают на этом уровне, называются протоколами прикладного уровня. Эти протоколы определяют правила, обеспечивающие взаимодействие и совместимость различных программных приложений на разных платформах и в разных сетях. Недоброжелатели используют протоколы прикладного уровня для незаметного проникновения в системы, утечки данных и сохранения постоянного доступа, смешиваясь с легитимным трафиком.

Использование протокола прикладного уровня злоумышленниками

Протоколы прикладного уровня, используемые злоумышленниками, по-прежнему представляют собой изощренный способ незаметного проведения операций, органично сочетая вредоносную деятельность с легитимным сетевым трафиком, чтобы избежать обнаружения. Эта тактика использует повсеместное распространение и доверие к широко используемым протоколам, встраивая вредоносные команды и данные в обычные сообщения, чтобы скрыть их намерения.

Злоумышленники все чаще выбирают протоколы, основываясь на их распространенности и предполагаемой безвредности в конкретных средах. Протоколы, связанные с просмотром веб-страниц, передачей файлов, электронной почтой и DNS-запросами, остаются главными мишенями из-за их повсеместного присутствия в современных сетях. Трафик, генерируемый этими протоколами, настолько обычен, что вредоносная активность часто скрывается от посторонних глаз.

В корпоративных сетях или сетях с высоким уровнем безопасности злоумышленники используют протоколы, обычно применяемые для внутренних коммуникаций, такие как HTTP/S, WebSocket, SMB, FTP, FTPS, DNS, SMTP, IMAP, POP3, MQTT, XMPP и AMQP [1]. Эти протоколы необходимы для удаленного доступа, обмена файлами и взаимодействия между приложениями. Манипулируя этими доверенными каналами, злоумышленники могут достигать своих целей, в том числе отдавать команды взломанным системам, выкачивать данные, перемещаться по сети, оставаясь незаметными.

Подтехники T1071 - Протокол прикладного уровня

В ATT&CK v16 существует 5 подтехник, относящихся к технике протоколам прикладного уровня (Application Layer Protocol):

  • T1071.001 - Веб-протоколы
  • T1071.002 - Протокол передачи файлов
  • T1071.003 - Почтовые протоколы
  • T1071.004 - DNS
  • T1071.005 - Протоколы публикации/подписки

Каждая из этих подтехник будет описана в следующих статьях.

Комментарии: 0
Похожие записи
0
1 минута
MITRE ATT&CK

MITRE ATT&CK T1071.003 - Протокол прикладного уровня: Почтовые протоколы

MITRE ATT&CK
Злоумышленники все чаще используют для связи C2 такие протоколы электронной почты, как SMTP, IMAP и POP3. Эти протоколы, являющиеся неотъемлемой частью отправки и получения электронной почты, используются
0
11 минут
MITRE ATT&CK

MITRE ATT&CK T1071.002 - Протокол прикладного уровня: Протоколы передачи файлов

MITRE ATT&CK
Злоумышленники используют протоколы передачи файлов, такие как SMB, FTP, FTPS и TFTP, для вредоносной деятельности, смешивая их сообщения с обычным сетевым трафиком, что затрудняет обнаружение.
0
15 минут
MITRE ATT&CK

MITRE ATT&CK T1071.001 - Протокол прикладного уровня: Веб-протоколы

MITRE ATT&CK
Злоумышленники используют протоколы HTTP, HTTPS и WebSocket для операций командования и управления (C2) благодаря их широкому распространению и способности органично сочетаться с легитимным веб-трафиком.