T1071-001-应用层协议-网络协议

来自ATT&CK描述

攻击者可以使用与Web流量相关的应用层协议进行通信，通过与现有流量混合来进行逃避检测或网络过滤。远程系统的命令，通常是这些命令的结果，将嵌入客户端和服务器之间的协议流量中。

承载Web流量的HTTP和HTTPS等协议在环境中可能非常常见。HTTP/S数据包有许多可以隐藏数据的字段和标头。攻击者可能滥用这些协议与受害网络中受其控制的系统进行通信，同时模仿正常的预期流量。

测试案例

最简单的案例就是哥斯拉webshell管理工具、冰蝎webshell管理工具等

检测日志

network

测试复现

参考以下章节：[[2020-04-18-Threathunting-bingxie-webshell]] [[T1505-003-windows下webshell检测]] [[T1505-003-web服务产生的可疑进程]]

测试留痕

暂无，仅提供检测规则相关的日志示例

检测规则/思路

建议

分析不常见的网络数据（例如，客户端发送的数据明显多于从服务器接收的数据）。使用通常没有网络通信或以前从未见过的网络的进程是可疑的。分析数据包内容以检测不遵循有关语法、结构或任何其他可变攻击者可以用来隐藏数据的预期协议标准的应用层协议。

监控进出已知不良或可疑域的网络流量。

相关TIP

[[T1071.002-win-内网FTP链接到公网行为]] [[T1071.004-win-内网主机向公网DNS发起可疑请求行为]]

参考推荐

MITRE-ATT&CK-T1071-001

https://attack.mitre.org/techniques/T1071/001/