4. Mitre上の定義
原文:
Adversaries may communicate using application layer protocols to avoid
detection/network filtering by blending in with existing traffic. Commands to
the remote system, and often the results of those commands, will be
embedded within the protocol traffic between the client and server.
Adversaries may utilize many different protocols, including those used for web
browsing, transferring files, electronic mail, or DNS. For connections that occur
internally within an enclave (such as those between a proxy or pivot node and
other nodes), commonly used protocols are SMB, SSH, or RDP.
7. サンプル:T1071.001 Web Protocols
定義・原文:
Protocols such as HTTP and HTTPS that carry web traffic may be very
common in environments. HTTP/S packets have many fields and headers in
which data can be concealed. An adversary may abuse these protocols to
communicate with systems under their control within a victim network while
also mimicking normal, expected traffic.
定義・意訳
Web通信で使用するHTTPやHTTPSなどのプロトコルは、どんな環境でも一般的に使用さ
れます。HTTP/Sパケットはデータを隠すことができる多くのフィールドとヘッダーがあります。こ
れらのプロトコルを悪用して、通常の通信に紛れ込ませることで、コントロール下にある被害
者と攻撃者間のネットワークで通信を行う可能性があります。
8. サンプル:T1071.001 Web Protocols 攻撃ツール
引用:https://attack.mitre.org/techniques/T1071/001/
Sから始まるIDは194件
様々なマルウェアやツールにて利用されている技術であることがわかる
9. サンプル:T1071.001 Web Protocols 攻撃ツール
Empire
・オープンソース
・攻撃後に使用する(Post-exploit)フレームワーク
・Github:https://github.com/BC-SECURITY/Empire
・「Starkiller」に連動させることで、GUI上での管理も可能
10. サンプル:T1071.001 Web Protocols 攻撃ツール
Covenant(Mitreでの記載がまだないソフトウェア)
・オープンソース
・C2フレームワーク
・Github:https://github.com/cobbr/Covenant
・C#ベース