T1095-非应用层协议

来自ATT&CK描述

攻击者可能使用非应用层协议在主机和C2服务器之间或网络中受感染的主机之间进行通信。存在可能被利用的协议列表很广泛。具体示例包括使用网络层协议，例如互联网控制消息协议 (ICMP)，传输层协议，例如用户数据报协议 (UDP)，会话层协议，例如安全套接字 (SOCKS)，以及重定向/隧道协议，例如LAN上串行 (SOL)。

主机之间的ICMP通信就是一个示例。因为ICMP是Internet Protocol Suite的一部分，所以要求所有IP兼容的主机都实现它；然而，它不像TCP或UDP等其他Internet协议那样受到普遍监控，并且可能被攻击者用来隐藏通信。

检测

分析ICMP消息或其他协议的网络流量，这些协议包含异常数据或通常在网络内或网络外看不到的数据。

分析不常见数据流的网络数据（例如，客户端发送的数据明显多于从服务器接收的数据）。使用通常没有网络通信或以前从未见过的网络的进程是可疑的。分析数据包内容以检测不遵循正在使用的端口的预期协议行为的通信

监控和调查与启用或利用替代通信渠道相关的函数的API调用。

参考推荐

MITRE-ATT&CK-T1095

https://attack.mitre.org/techniques/T1095