Säkerhetsverktyg kan leta efter mönster i tidpunkten för kommunikation (som GET- och POST-förfrågningar) för att upptäcka beaconing. Även om skadlig programvara försöker maskera sig själv genom att använda en viss mängd randomisering, kallad jitter, skapar den fortfarande ett mönster som kan kännas igen, särskilt genom maskininlärning.
Vad är en beaconing-attack?
I en värld av skadlig programvara är beaconing handlingen att skicka regelbunden kommunikation från en infekterad värd till en angriparkontrollerad värd för att kommunicera att den infekterade värdskadliga programvaran är vid liv och redo för instruktioner.
Hur kontrollerar du C&C?
Du kan upptäcka C&C-trafik i dina loggkällor genom att använda hotintelligens som antingen produceras av ditt eget team eller som du tar emot via hotdelningsgrupper. Denna intelligens kommer bland annat att innehålla de indikatorer och mönster som du bör leta efter i loggarna.
Vad är Beacon-analys?
Beaconanalys är en kritisk hotsjaktfunktion. I vissa situationer kan det vara det enda tillgängliga alternativet för att identifiera ett komprometterat system. Även om det är ett enormt arbete att utföra en beaconanalys manuellt, finns det både öppen källkod och kommersiella verktyg tillgängliga för att påskynda processen.
Vad är nätverksbeaconing?
(1) I ett Wi-Fi-nätverk, kontinuerlig överföring av små paket (beacons) som annonserar närvaron av basstationen (se SSIDutsända). (2) En kontinuerlig signalering av ett feltillstånd i ett token-ringnätverk såsom FDDI. Det tillåter nätverksadministratören att lokalisera den felaktiga noden. Se borttagning av beacon.
