Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Возможность маскировки вредоносного трафика под легитимный

Злоумышленник может выдавать несанкционированный трафик за легитимные протоколы или трафик веб-служб, чтобы скрыть действия по управлению и утечке информации, помешать анализу вредоносных действий.
Злоумышленник также может подделывать рукопожатие SSL/TLS создавая впечатление, что последующий трафик зашифрован по протоколу SSL/TLS. Потенциально это может помешать некоторым средствам защиты, или представить так чтобы трафик выглядел как будто он связан с доверенной сущностью.
Так же злоумышленник может использовать протоколы не прикладного уровня для связи между хостом и сервером управления или между зараженными хостами в сети. Список возможных протоколов обширен, примерами могут быть ICMP, UDP, Socket Secure (SOCKS),  Serial over LAN (SOL).
Трафик может передаваться запланировано,  только в определенное время суток или через определенные промежутки времени. Это позволяет смешать передаваемый трафик с нормальной активностью пользователей.
Для передачи команд управления и информации могут использоваться легитимные ресурсы в сети Интернет - социальные сети, сервисы Google, Twitter и т.п. Поставщики веб-услуг обычно используют шифрование SSL / TLS, что дает злоумышленникам дополнительный уровень защиты.

Каталоги

Техники ATT@CK:
T1001.003 Data Obfuscation: Protocol Impersonation
Adversaries may impersonate legitimate protocols or web service traffic to disguise command and control activity and thwart anal...
T1029 Scheduled Transfer
Adversaries may schedule data exfiltration to be performed only at certain times of day or at certain intervals. This could be d...
T1041 Exfiltration Over C2 Channel
Adversaries may steal data by exfiltrating it over an existing command and control channel. Stolen data is encoded into the norm...
T1095 Non-Application Layer Protocol
Adversaries may use a non-application layer protocol for communication between host and C2 server or among infected hosts within...
T1102.001 Web Service: Dead Drop Resolver
Adversaries may use an existing, legitimate external Web service to host information that points to additional command and contr...
T1102.002 Web Service: Bidirectional Communication
Adversaries may use an existing, legitimate external Web service as a means for sending commands to and receiving output from a ...
T1102.003 Web Service: One-Way Communication
Adversaries may use an existing, legitimate external Web service as a means for sending commands to a compromised system without...

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Передача данных по скрытым каналам из-за возможности маскировки вредоносного трафика под легитимный в сетевом трафике
Конфиденциальность Раскрытие информации
Передача данных по скрытым каналам
Конфиденциальность Раскрытие информации
Возможность маскировки вредоносного трафика под легитимный
Несанкционированное управление ИТ инфраструктурой из-за возможности маскировки вредоносного трафика под легитимный в сетевом трафике
Повышение привилегий Целостность НСД
Несанкционированное управление ИТ инфраструктурой
Повышение привилегий Целостность НСД
Возможность маскировки вредоносного трафика под легитимный
Утечка информации из-за возможности маскировки вредоносного трафика под легитимный в сетевом трафике
Конфиденциальность Раскрытие информации
Утечка информации
Конфиденциальность Раскрытие информации
Возможность маскировки вредоносного трафика под легитимный