T1071.004
DNS
DNSتوضیحات
مهاجمان از پروتکل DNS برای ارتباطات C2 استفاده میکنند و دستورات را در query های DNS پنهان میکنند.
روشهای شناسایی
نظارت بر query های DNS با حجم غیرعادی. بررسی query های DNS به دامنههای مشکوک.
روشهای مقابله
استفاده از DNS filtering. نظارت بر ترافیک DNS.
تکنیک اصلی
T1071Application Layer Protocol
پروتکل لایه برنامه
مهاجمان از پروتکلهای لایه برنامه مانند HTTP، HTTPS، DNS و SMTP برای ارتباطات C2 استفاده میکنند تا با ترافیک قانونی مخلوط شوند.