Erkennung von Datenverschleierung: Imitation von Protokollen (T1001:003)
Ziel
Angreifer können versuchen, ein legitimes Protokoll zu imitieren, um C&C-Kommunikation zu verschleiern und Netzwerkfilter zu umgehen (T1001:003).
Mittels Protokollklassifizierung blockiert diese globale Regel sämtlichen Datenverkehr, bei dem keine Übereinstimmung zwischen HTTP und dessen Standardzielport 80 vorliegt.
Bemerkung
Vergleichbare Regeln können auch für andere Protokolle angelegt werden, wie HTTPS, SSH usw.
Anlegen der Regel
Legen Sie eine globale Regel an, die sämtlichen Datenverkehr zu Port 80 verwirft, der nicht über HTTP läuft.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:
Regel |
Source |
Destination |
Conditions |
Actions |
---|---|---|---|---|
|
|
Classification |
Log: |
Eine ausführliche Anleitung zur Erstellung einer Regel finden Sie unter Anlegen globaler Regeln.
Klicken Sie auf APPLY CHANGES oben in der Hauptnavigation, um Ihre Konfigurationsänderungen zu aktivieren.
Ergebnis
Versuche, HTTP zu imitieren, werden erkannt und blockiert.