トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

ネットワーク侵入防止システムの適用

Last-modified: 2019-10-01 (火) 15:40:00
Top/ネットワーク侵入防止システムの適用

悪意のあるファイルを添付したフィッシングメール?

ネットワーク侵入防止システムの適用

侵入検知シグネチャを使用して、ネットワーク境界でトラフィックをブロックします。

軽減策によって対処される手法

ID名前説明
T1043一般的に使用されるポートネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1]
T1090接続プロキシネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のC2プロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1]
T1094カスタムコマンドおよび制御プロトコルネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1]
T1024カスタム暗号化プロトコルネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。使用されるカスタムプロトコルは一般的なプロトコル標準に準拠していないため、検出のためにネットワークレベルでトラフィックに署名する機会があります。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。
T1002圧縮されたデータネットワーク侵入防止またはデータ損失防止ツールを設定して、特定のファイルタイプが暗号化されていないチャネルを介してネットワークから離れないようにすることができます。攻撃者は暗号化されたチャネルに移動するか、これらの状況でトラフィックをカプセル化する他のメカニズムを使用する可能性があります。
T1132データエンコーディングネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の攻撃者またはツールで使用される特定の難読化手法に基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。
T1001データ難読化ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでの難読化アクティビティを軽減できます。
T1030データ転送サイズの制限ネットワーク署名を使用して特定の敵対的なコマンドおよび制御インフラストラクチャおよびマルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。
T1483ドメイン生成アルゴリズムネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。マルウェアの研究者は、DGAを使用するマルウェアの亜種をリバースエンジニアリングし、マルウェアがコンタクトしようとする将来のドメインを特定できますが、これは時間とリソースを集中的に費やします。また、マルウェアは、インスタンスごとに一意のシード値を組み込むようになっています。シード値は、将来生成されるドメインを抽出するために決定する必要があります。場合によっては、特定のサンプルが使用するシードをDNSトラフィックから抽出できます。それでも、1日に何千ものドメインが生成される可能性があります。これにより、費用のために、防御者がすべての可能なC2ドメインを先制的に登録することは実用的ではありません。 [2] [3] [4]
T1048代替プロトコルを介した流出ネットワーク署名を使用して特定の敵対的なコマンドおよび制御インフラストラクチャおよびマルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。
T1041コマンドアンドコントロールチャネルを介した流出ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の攻撃者またはツールで使用される特定の難読化手法に基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールコマンドを変更し、シグネチャを時間とともに制御するか、プロトコルを構築する可能性があります。 [1]
T1008フォールバックチャネルネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1]
T1104多段チャンネルネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。
T1026マルチバンド通信ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1]
T1079多層暗号化ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。暗号化プロトコルを使用すると、トラフィックに署名する機能が低下するため、一般的なネットワークベースのC2検出が困難になる場合があります。攻撃者のC2インフラストラクチャに関する予備知識は、ドメインとIPアドレスのブロックに役立ちますが、敵はインフラストラクチャを頻繁に変更する可能性があるため、効果的な長期ソリューションではない可能性があります。 [1]
T1046ネットワークサービススキャンネットワーク侵入検出/防止システムを使用して、リモートサービススキャンを検出および防止します。
T1108冗長アクセスネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、さまざまなマルウェアファミリおよびバージョン間で異なります。攻撃者は、時間とともにツールのシグネチャを変更したり、一般的な防御ツールによる検出を回避するような方法でプロトコルを構築したりする可能性があります。 [1]
T1219リモートアクセスツールネットワーク署名を使用するネットワーク侵入検知および防止システムは、リモートアクセスサービスへのトラフィックを防止できる場合があります。
T1105リモートファイルコピーネットワーク署名を使用して特定の敵対マルウェアやFTPなどの既知のツールやプロトコルを介した異常なデータ転送を識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の攻撃者またはツールで使用される特定の難読化手法に基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1]
T1029予定転送ネットワーク署名を使用して特定の敵対的なコマンドおよび制御インフラストラクチャおよびマルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の攻撃者またはツールで使用される特定の難読化手法に基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールコマンドを変更し、シグネチャを時間とともに制御するか、プロトコルを構築する可能性があります。 [1]
T1193スピアフィッシング添付ファイルネットワーク侵入防止システムおよび悪意のある電子メールの添付ファイルをスキャンして削除するように設計されたシステムを使用して、アクティビティをブロックできます。
T1071標準アプリケーション層プロトコルネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。
T1032標準暗号化プロトコルネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。
T1095標準の非アプリケーション層プロトコルネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。
T1221テンプレートインジェクションネットワーク/ホスト侵入防止システム、ウイルス対策、および爆発チャンバーを使用して、ドキュメントが悪意のあるペイロードを取得または実行するのを防ぐことができます。 [5]
T1065あまり使用されないポートネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。
T1204ユーザー実行ユーザーがリンクにアクセスしている場合、ネットワーク侵入防止システムおよび悪意のあるダウンロードをスキャンして削除するように設計されたシステムを使用して、アクティビティをブロックできます。
T1102ウェブサービスネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。