標準アプリケーションレイヤプロトコル(HTTP,SMTPなど) のバックアップ(No.2)
- バックアップ一覧
- ソース を表示
- 標準アプリケーションレイヤプロトコル(HTTP,SMTPなど) は削除されています。
- 1 (2019-10-28 (月) 10:39:09)
- 2 (2019-10-28 (月) 10:49:00)
- 3 (2020-11-08 (日) 14:33:28)
設定対策?
標準アプリケーションレイヤプロトコル(HTTP,SMTPなど) †
戦術 †
外部からの指令統制
対象OS †
- Linux
- Windows
- macOS
必要なアクセス許可 †
- User
概説 †
攻撃者は、HTTP、HTTPS、SMTP、またはDNSなどの一般的な標準化されたアプリケーションレイヤープロトコルを使用して通信し、既存のトラフィックと混合することで検出を回避します。リモートシステムへのコマンド、および多くの場合それらのコマンドの結果は、クライアントとサーバー間のプロトコルトラフィック内に埋め込まれます。
拠点内で内部的に発生する接続(プロキシノードまたはピボットノードと他のノード間の接続など)で一般的に使用されるプロトコルは、RPC、SSH、またはRDPです。
一般的に利用されるポートの悪用も参照してください。
攻撃評価 †
| 戦術分類 | 119 Value | Pen Value |
| 初期侵入 | 3 | 3 |
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
MITRE 緩和策 †
ネットワーク侵入防止 †
ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。
Windows 10 STIG †
該当なし
Windows Server 2016 STIG †
V-73245 サーバーには、ホストベースの侵入検知または防止システムが必要です。