Куда я попал?
Злоумышленник может выдавать несанкционированный трафик за легитимные протоколы или трафик веб-служб, чтобы скрыть действия по управлению и утечке информации, помешать анализу вредоносных действий.
Злоумышленник также может подделывать рукопожатие SSL/TLS создавая впечатление, что последующий трафик зашифрован по протоколу SSL/TLS. Потенциально это может помешать некоторым средствам защиты, или представить так чтобы трафик выглядел как будто он связан с доверенной сущностью.
Так же злоумышленник может использовать протоколы не прикладного уровня для связи между хостом и сервером управления или между зараженными хостами в сети. Список возможных протоколов обширен, примерами могут быть ICMP, UDP, Socket Secure (SOCKS), Serial over LAN (SOL).
Трафик может передаваться запланировано, только в определенное время суток или через определенные промежутки времени. Это позволяет смешать передаваемый трафик с нормальной активностью пользователей.
Для передачи команд управления и информации могут использоваться легитимные ресурсы в сети Интернет - социальные сети, сервисы Google, Twitter и т.п. Поставщики веб-услуг обычно используют шифрование SSL / TLS, что дает злоумышленникам дополнительный уровень защиты.
Злоумышленник также может подделывать рукопожатие SSL/TLS создавая впечатление, что последующий трафик зашифрован по протоколу SSL/TLS. Потенциально это может помешать некоторым средствам защиты, или представить так чтобы трафик выглядел как будто он связан с доверенной сущностью.
Так же злоумышленник может использовать протоколы не прикладного уровня для связи между хостом и сервером управления или между зараженными хостами в сети. Список возможных протоколов обширен, примерами могут быть ICMP, UDP, Socket Secure (SOCKS), Serial over LAN (SOL).
Трафик может передаваться запланировано, только в определенное время суток или через определенные промежутки времени. Это позволяет смешать передаваемый трафик с нормальной активностью пользователей.
Для передачи команд управления и информации могут использоваться легитимные ресурсы в сети Интернет - социальные сети, сервисы Google, Twitter и т.п. Поставщики веб-услуг обычно используют шифрование SSL / TLS, что дает злоумышленникам дополнительный уровень защиты.
Связанные риски
| Риск | Связи | |
|---|---|---|
|
Передача данных по скрытым каналам из-за
возможности маскировки вредоносного трафика под легитимный в сетевом трафике
Конфиденциальность
Раскрытие информации
|
||
|
Несанкционированное управление ИТ инфраструктурой из-за
возможности маскировки вредоносного трафика под легитимный в сетевом трафике
Повышение привилегий
Целостность
НСД
|
||
|
Утечка информации из-за
возможности маскировки вредоносного трафика под легитимный в сетевом трафике
Конфиденциальность
Раскрытие информации
|