ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]
译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1509
术语表: /attack/glossary
常用端口
对手可能会使用非标准端口来窃取信息。
Adversaries may use non-standard ports to exfiltrate information.
标签
ID编号: T1509
战术类型: 事后访问设备
策略: 命令与控制
平台: Android,iOS
程序示例
| 名称 | 描述 |
|---|---|
| Exodus(S0405) | Exodus(S0405)两次尝试连接到端口22011以提供远程反向外壳。 |
| FlexiSpy(S0408) | FlexiSpy(S0408)可以通过端口12512和12514与命令和控制服务器进行通信。 |
| Name | Description |
|---|---|
| Exodus(S0405) | Exodus(S0405) Two attempts to connect to port 22011 to provide a remote reverse shell. |
| FlexiSpy(S0408) | FlexiSpy(S0408) can communicate with the command and control server over ports 12512 and 12514. |
缓解措施
| 减轻 | 描述 |
|---|---|
| 应用审查 | 应用程序审查报告可以显示由应用程序执行的网络通信,包括主机,端口,协议和URL。 |
| Mitigation | Description |
|---|---|
| Application Vetting | Application vetting reports may show network communications performed by the application, including hosts, ports, protocols, and URLs. |
检测
通过数据包和/或网络流检查,检测很可能是在企业级别。许多配置正确的防火墙也可以自然地阻止命令并控制非标准端口上的流量。
Detection would most likely be at the enterprise level, through packet and/or netflow inspection. Many properly configured firewalls may also naturally block command and control traffic over non-standard ports.