T1011: Эксфильтрация через альтернативную сетевую среду
Злоумышленники могут попытаться извлечь данные из системы через сетевую среду, отличную от используемой для взаимодействия с командным сервером. Если связь с командным сервером осуществляется через проводное подключение к интернету, эксфильтрация может происходить, например, через Wi-Fi-соединение, модем, сотовую связь, Bluetooth или другой радиочастотный (РЧ) канал.
Злоумышленники могут использовать этот метод, если имеют достаточный уровень доступа и физически находятся достаточно близко к цели. РЧ-соединение может быть защищено не так надежно, как основной канал подключения к интернету, поскольку не связано с корпоративной сетью.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных, например, использование необычных или неожиданных в данном контексте протоколов. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные сетевые соединения, которые могут использоваться для извлечения данных из системы через сетевую среду, отличную от используемой для взаимодействия с командным сервером. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомления о создании TCP-соединений. Приведенный ниже анализ использует идентификатор события OSQuery. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки доступа к файлам, которые могут быть связаны с эксфильтрацией, включая чтение файла процессом с активным сетевым подключением. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения данных из системы через сетевую среду, отличную от используемой для взаимодействия с командным сервером. |
---|
Меры противодействия
ID | M1028 | Название | Изменение конфигурации ОС | Описание | По возможности предотвратите создание новых сетевых адаптеров. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Отключите Bluetooth в настройках безопасности локального компьютера или в групповой политике, если он не нужен в среде. |
---|