T1571-非标准端口

来自ATT&CK描述

攻击者可能使用通常不相关的协议和端口解析进行通信。例如，通过8088端口或587端口的HTTPS，而不是传统的443端口。攻击者可能对协议使用的标准端口进行修改，以绕过过滤或混淆对网络数据的分析/解析。

测试案例

检测日志

Netflow

测试复现

测试留痕

检测规则/思路

建议

分析数据包内容，以检测不遵循正常端口和通讯协议的通信行为。分析网络数据是否有不常见的数据流（例如，客户机发送的数据明显多于它从服务器收到的数据）。利用网络的进程，如果是通常没有网络通信或以前从未见过，则是可疑的。

参考推荐

MITRE-ATT&CK-T1571

https://attack.mitre.org/techniques/T1571

Atomic-red-team-T1571

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1571/T1571.md