T1071

پروتکل لایه برنامه

Application Layer Protocol

توضیحات

مهاجمان از پروتکل‌های لایه برنامه مانند HTTP، HTTPS، DNS و SMTP برای ارتباطات C2 استفاده می‌کنند تا با ترافیک قانونی مخلوط شوند.

زیرتکنیک‌ها (4)

شناسهنام

مهاجمان از HTTP و HTTPS برای ارتباطات C2 استفاده می‌کنند تا با ترافیک وب عادی مخلوط شوند.

مهاجمان از پروتکل‌های انتقال فایل مانند FTP، FTPS و SFTP برای ارتباطات C2 استفاده می‌کنند.

مهاجمان از پروتکل‌های ایمیل مانند SMTP، IMAP و POP3 برای ارتباطات C2 استفاده می‌کنند.

DNSDNS

مهاجمان از پروتکل DNS برای ارتباطات C2 استفاده می‌کنند و دستورات را در query های DNS پنهان می‌کنند.

روش‌های شناسایی

نظارت بر ترافیک HTTP/HTTPS به مقاصد غیرمعمول. بررسی query های DNS غیرعادی. تحلیل محتوای ترافیک.

روش‌های مقابله

استفاده از web proxy. پیاده‌سازی DNS filtering. نظارت بر ترافیک خروجی.