Gli strumenti di sicurezza possono cercare schemi nei tempi delle comunicazioni (come richieste GET e POST) per rilevare il beaconing. Sebbene il malware tenti di mascherarsi utilizzando una certa quantità di randomizzazione, chiamata jitter, crea comunque uno schema riconoscibile, in particolare dai rilevamenti di apprendimento automatico.
Cos'è un attacco di segnalazione?
Nel mondo del malware, il beaconing è l'atto di inviare comunicazioni regolari da un host infetto a un host controllato da un utente malintenzionato per comunicare che il malware host infetto è attivo e pronto per le istruzioni.
Come controlli C&C?
Puoi rilevare il traffico C&C nelle tue fonti di log usando l'intelligence sulle minacce prodotta dal tuo stesso team o che ricevi tramite gruppi di condivisione delle minacce. Questa intelligenza conterrà, tra le altre informazioni, gli indicatori e gli schemi che dovresti cercare nei log.
Cos'è l'analisi Beacon?
L'analisi del beacon è una funzione critica di caccia alle minacce. In alcune situazioni, potrebbe essere l'unica opzione disponibile per identificare un sistema compromesso. Sebbene l'esecuzione manuale di un'analisi beacon sia un compito arduo, sono disponibili strumenti sia open source che commerciali per accelerare il processo.
Cos'è il segnale di rete?
(1) In una rete Wi-Fi, la trasmissione continua di piccoli pacchetti (beacon) che annunciano la presenza della stazione base (vedi SSIDtrasmissione). (2) Una segnalazione continua di una condizione di errore in una rete token ring come FDDI. Consente all'amministratore di rete di individuare il nodo difettoso. Vedi la rimozione del beacon.
