ネットワーク侵入防止システムの適用
Last-modified: 2019-10-01 (火) 15:40:00
Top/ネットワーク侵入防止システムの適用
悪意のあるファイルを添付したフィッシングメール?
ネットワーク侵入防止システムの適用 †
侵入検知シグネチャを使用して、ネットワーク境界でトラフィックをブロックします。
軽減策によって対処される手法 †
ID | 名前 | 説明 |
T1043 | 一般的に使用されるポート | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1] |
T1090 | 接続プロキシ | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のC2プロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1] |
T1094 | カスタムコマンドおよび制御プロトコル | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1] |
T1024 | カスタム暗号化プロトコル | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。使用されるカスタムプロトコルは一般的なプロトコル標準に準拠していないため、検出のためにネットワークレベルでトラフィックに署名する機会があります。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 |
T1002 | 圧縮されたデータ | ネットワーク侵入防止またはデータ損失防止ツールを設定して、特定のファイルタイプが暗号化されていないチャネルを介してネットワークから離れないようにすることができます。攻撃者は暗号化されたチャネルに移動するか、これらの状況でトラフィックをカプセル化する他のメカニズムを使用する可能性があります。 |
T1132 | データエンコーディング | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の攻撃者またはツールで使用される特定の難読化手法に基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 |
T1001 | データ難読化 | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでの難読化アクティビティを軽減できます。 |
T1030 | データ転送サイズの制限 | ネットワーク署名を使用して特定の敵対的なコマンドおよび制御インフラストラクチャおよびマルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。 |
T1483 | ドメイン生成アルゴリズム | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。マルウェアの研究者は、DGAを使用するマルウェアの亜種をリバースエンジニアリングし、マルウェアがコンタクトしようとする将来のドメインを特定できますが、これは時間とリソースを集中的に費やします。また、マルウェアは、インスタンスごとに一意のシード値を組み込むようになっています。シード値は、将来生成されるドメインを抽出するために決定する必要があります。場合によっては、特定のサンプルが使用するシードをDNSトラフィックから抽出できます。それでも、1日に何千ものドメインが生成される可能性があります。これにより、費用のために、防御者がすべての可能なC2ドメインを先制的に登録することは実用的ではありません。 [2] [3] [4] |
T1048 | 代替プロトコルを介した流出 | ネットワーク署名を使用して特定の敵対的なコマンドおよび制御インフラストラクチャおよびマルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。 |
T1041 | コマンドアンドコントロールチャネルを介した流出 | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の攻撃者またはツールで使用される特定の難読化手法に基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールコマンドを変更し、シグネチャを時間とともに制御するか、プロトコルを構築する可能性があります。 [1] |
T1008 | フォールバックチャネル | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1] |
T1104 | 多段チャンネル | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。 |
T1026 | マルチバンド通信 | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の敵またはツールが使用する特定のプロトコルに基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1] |
T1079 | 多層暗号化 | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。暗号化プロトコルを使用すると、トラフィックに署名する機能が低下するため、一般的なネットワークベースのC2検出が困難になる場合があります。攻撃者のC2インフラストラクチャに関する予備知識は、ドメインとIPアドレスのブロックに役立ちますが、敵はインフラストラクチャを頻繁に変更する可能性があるため、効果的な長期ソリューションではない可能性があります。 [1] |
T1046 | ネットワークサービススキャン | ネットワーク侵入検出/防止システムを使用して、リモートサービススキャンを検出および防止します。 |
T1108 | 冗長アクセス | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、さまざまなマルウェアファミリおよびバージョン間で異なります。攻撃者は、時間とともにツールのシグネチャを変更したり、一般的な防御ツールによる検出を回避するような方法でプロトコルを構築したりする可能性があります。 [1] |
T1219 | リモートアクセスツール | ネットワーク署名を使用するネットワーク侵入検知および防止システムは、リモートアクセスサービスへのトラフィックを防止できる場合があります。 |
T1105 | リモートファイルコピー | ネットワーク署名を使用して特定の敵対マルウェアやFTPなどの既知のツールやプロトコルを介した異常なデータ転送を識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の攻撃者またはツールで使用される特定の難読化手法に基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールC2シグネチャを経時的に変更するか、プロトコルを構築する可能性があります。 [1] |
T1029 | 予定転送 | ネットワーク署名を使用して特定の敵対的なコマンドおよび制御インフラストラクチャおよびマルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。多くの場合、シグネチャはプロトコル内の一意のインジケータ用であり、特定の攻撃者またはツールで使用される特定の難読化手法に基づいている場合があり、さまざまなマルウェアファミリおよびバージョン間で異なる可能性があります。攻撃者は、一般的な防御ツールによる検出を回避するような方法で、ツールコマンドを変更し、シグネチャを時間とともに制御するか、プロトコルを構築する可能性があります。 [1] |
T1193 | スピアフィッシング添付ファイル | ネットワーク侵入防止システムおよび悪意のある電子メールの添付ファイルをスキャンして削除するように設計されたシステムを使用して、アクティビティをブロックできます。 |
T1071 | 標準アプリケーション層プロトコル | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。 |
T1032 | 標準暗号化プロトコル | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。 |
T1095 | 標準の非アプリケーション層プロトコル | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。 |
T1221 | テンプレートインジェクション | ネットワーク/ホスト侵入防止システム、ウイルス対策、および爆発チャンバーを使用して、ドキュメントが悪意のあるペイロードを取得または実行するのを防ぐことができます。 [5] |
T1065 | あまり使用されないポート | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。 |
T1204 | ユーザー実行 | ユーザーがリンクにアクセスしている場合、ネットワーク侵入防止システムおよび悪意のあるダウンロードをスキャンして削除するように設計されたシステムを使用して、アクティビティをブロックできます。 |
T1102 | ウェブサービス | ネットワーク署名を使用して特定の敵対マルウェアのトラフィックを識別するネットワーク侵入検知および防止システムを使用して、ネットワークレベルでのアクティビティを軽減できます。 |