T1011.001: Эксфильтрация через Bluetooth

Злоумышленники могут попытаться извлечь данные из системы по Bluetooth, а не через канал взаимодействия с командным сервером. Если связь с командным сервером осуществляется через проводное подключение к интернету, злоумышленники могут выбрать для эксфильтрации данных Bluetooth-соединение.

Злоумышленники могут использовать этот метод, если имеют достаточный уровень доступа и физически находятся достаточно близко к цели. Bluetooth-соединения могут быть защищены не так надежно, как основной канал подключения к интернету, поскольку не связаны с корпоративной сетью.

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Monitor for newly constructed network connections that may attempt to exfiltrate data over Bluetooth rather than the command and control channel. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Monitor network data for uncommon data flows., such as the usage of abnormal/unexpected protocols.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Monitor for files being accessed that could be related to exfiltration, such as file reads by a process that also has an active network connection. Also monitor for and investigate changes to host adapter settings, such as addition and/or replication of communication interfaces.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may attempt to exfiltrate data over Bluetooth rather than the command and control channel.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Disable Bluetooth in local computer security settings or by group policy if it is not needed within an environment.

IDM1028НазваниеИзменение конфигурации ОСОписание

Prevent the creation of new network adapters where possible.