T1048
استخراج از طریق پروتکل جایگزین
Exfiltration Over Alternative Protocolتوضیحات
مهاجمان دادهها را از طریق پروتکلهای جایگزین مانند DNS، ICMP، SMTP و FTP استخراج میکنند تا از کنترلهای امنیتی فرار کنند.
زیرتکنیکها (3)
شناسهنام
استخراج از طریق پروتکل رمزنگاری شده متقارنExfiltration Over Symmetric Encrypted Non-C2 Protocol
مهاجمان دادهها را از طریق پروتکلهای رمزنگاری شده غیر از کانال C2 استخراج میکنند.
استخراج از طریق پروتکل رمزنگاری نشدهExfiltration Over Asymmetric Encrypted Non-C2 Protocol
مهاجمان دادهها را از طریق پروتکلهای رمزنگاری نشده یا ضعیف استخراج میکنند.
استخراج از طریق پروتکل متن سادهExfiltration Over Unencrypted Non-C2 Protocol
مهاجمان دادهها را از طریق پروتکلهای متن ساده مانند DNS و ICMP استخراج میکنند.
روشهای شناسایی
نظارت بر ترافیک DNS با حجم غیرعادی. بررسی ترافیک ICMP با payload بزرگ. نظارت بر ترافیک پروتکلهای غیرمعمول.
روشهای مقابله
فیلتر کردن پروتکلهای غیرضروری. پیادهسازی DLP. نظارت بر ترافیک خروجی.