Sikkerhetsverktøy kan se etter mønstre i tidspunktet for kommunikasjon (som GET- og POST-forespørsler) for å oppdage beaconing. Selv om skadelig programvare prøver å maskere seg selv ved å bruke en viss grad av randomisering, k alt jitter, skaper den fortsatt et mønster som er gjenkjennelig - spesielt ved maskinlæringsdeteksjoner.
Hva er et beaconing-angrep?
I en verden av skadelig programvare er beaconing det å sende regelmessig kommunikasjon fra en infisert vert til en angriperkontrollert vert for å kommunisere at den infiserte vertens skadelige programvare er i live og klar for instruksjoner.
Hvordan sjekker du for C&C?
Du kan oppdage C&C-trafikk i loggkildene dine ved å bruke trusselintelligens som enten er produsert av ditt eget team eller som du mottar via trusseldelingsgrupper. Denne informasjonen vil blant annet inneholde indikatorene og mønstrene du bør se etter i loggene.
Hva er Beacon-analyse?
Beaconanalyse er en kritisk trusseljaktfunksjon. I noen situasjoner kan det være det eneste tilgjengelige alternativet for å identifisere et kompromittert system. Selv om det er et stort arbeid å utføre en beaconanalyse manuelt, er det både åpen kildekode og kommersielle verktøy tilgjengelig for å fremskynde prosessen.
Hva er nettverksbeaconing?
(1) I et Wi-Fi-nettverk, kontinuerlig overføring av små pakker (beacons) som annonserer tilstedeværelsen av basestasjonen (se SSIDkringkaste). (2) En kontinuerlig signalering av en feiltilstand i et token-ringnettverk slik som FDDI. Den lar nettverksadministratoren finne den defekte noden. Se fjerning av beacon.
