Protocol T1188: Multi-hop Proxy T1092: Communication Through Removable Media T1132: Data Encoding T1219: Remote Access Tools T1095: Standard Non-Application Layer Protocol T1024: Custom Cryptographic Protocol T1043: Commonly Used Port T1094: Custom Command and Control Protocol T1026: Multiband Communication T1071: Standard Application Layer Protocol T1205: Port Knocking T1102: Web Service T1172: Domain Fronting T1008: Fallback Channels T1105: Remote File Copy T1065: Uncommonly Used Port T1001: Data Obfuscation T1104: Multi-Stage Channels T1079: Multilayer Encryption https://attack.mitre.org/wiki/Command_and_Control
połączeniami HTTP, • Obliczamy entropię (miarę losowości) wartości tych interwałów, • Poziom detekcji powinien zniwelować “jitter” • Zmodyfikowany skrypt securitykitten/bro_beacons.bro
użytkowej • analiza narzędzi i technik atakującego przekuta w mądrą defensywę to: – większy koszt atakującego (brak aktualizacji skopiowanych certyfikatów) – długofalowa inwestycja (FakeTLS stosowany conajmniej od 2014)