Sikkerhedsværktøjer kan lede efter mønstre i timingen af kommunikation (såsom GET- og POST-anmodninger) for at detektere beaconing. Selvom malware forsøger at maskere sig selv ved at bruge en vis mængde randomisering, kaldet jitter, skaber den stadig et mønster, der er genkendeligt - især ved maskinlæringsdetekteringer.
Hvad er et beaconing-angreb?
I en verden af malware er beaconing det at sende regelmæssig kommunikation fra en inficeret vært til en angriber-kontrolleret vært for at kommunikere, at den inficerede værts-malware er i live og klar til instruktioner.
Hvordan tjekker du for C&C?
Du kan registrere C&C-trafik i dine logkilder ved at bruge trusselsintelligens, som enten er produceret af dit eget team, eller som du modtager via trusselsdelingsgrupper. Denne intelligens vil blandt andet indeholde de indikatorer og mønstre, som du skal kigge efter i loggene.
Hvad er Beacon-analyse?
Beaconanalyse er en kritisk trusselsjagtfunktion. I nogle situationer kan det være den eneste tilgængelige mulighed for at identificere et kompromitteret system. Selvom det er en kæmpe opgave at udføre en beaconanalyse manuelt, er der både open source og kommercielle værktøjer tilgængelige til at fremskynde processen.
Hvad er netværksbeaconing?
(1) I et Wi-Fi-netværk, kontinuerlig transmission af små pakker (beacons), der reklamerer for tilstedeværelsen af basestationen (se SSIDudsende). (2) En kontinuerlig signalering af en fejltilstand i et token-ringnetværk såsom FDDI. Det giver netværksadministratoren mulighed for at lokalisere den defekte node. Se fjernelse af beacon.
