MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1011: Эксфильтрация через альтернативную сетевую среду

Злоумышленники могут попытаться извлечь данные из системы через сетевую среду, отличную от используемой для взаимодействия с командным сервером. Если связь с командным сервером осуществляется через проводное подключение к интернету, эксфильтрация может происходить, например, через Wi-Fi-соединение, модем, сотовую связь, Bluetooth или другой радиочастотный (РЧ) канал.

Злоумышленники могут использовать этот метод, если имеют достаточный уровень доступа и физически находятся достаточно близко к цели. РЧ-соединение может быть защищено не так надежно, как основной канал подключения к интернету, поскольку не связано с корпоративной сетью.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных, например, использование необычных или неожиданных в данном контексте протоколов.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые соединения, которые могут использоваться для извлечения данных из системы через сетевую среду, отличную от используемой для взаимодействия с командным сервером. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Примечание. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомления о создании TCP-соединений. Приведенный ниже анализ использует идентификатор события OSQuery.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки доступа к файлам, которые могут быть связаны с эксфильтрацией, включая чтение файла процессом с активным сетевым подключением.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения данных из системы через сетевую среду, отличную от используемой для взаимодействия с командным сервером.

Меры противодействия

IDM1028НазваниеИзменение конфигурации ОСОписание

По возможности предотвратите создание новых сетевых адаптеров.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Отключите Bluetooth в настройках безопасности локального компьютера или в групповой политике, если он не нужен в среде.