T1011.001: Эксфильтрация через Bluetooth

Злоумышленники могут попытаться извлечь данные из системы по Bluetooth, а не через канал взаимодействия с командным сервером. Если связь с командным сервером осуществляется через проводное подключение к интернету, злоумышленники могут выбрать для эксфильтрации данных Bluetooth-соединение.

Злоумышленники могут использовать этот метод, если имеют достаточный уровень доступа и физически находятся достаточно близко к цели. Bluetooth-соединения могут быть защищены не так надежно, как основной канал подключения к интернету, поскольку не связаны с корпоративной сетью.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, позволяющих выполнить эксфильтрацию через Bluetooth, например BlueDispatcher.exe

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения данных из системы по Bluetooth, а не через канал взаимодействия с командным сервером.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте аномальные потоки сетевых данных, например использование необычных или неожиданных в данном контексте протоколов.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений, которые могут использоваться для извлечения данных из системы по Bluetooth, а не через канал взаимодействия с командным сервером. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки доступа к файлам, которые могут быть связаны с эксфильтрацией, включая чтение файла процессом с активным сетевым подключением. Также отслеживайте и рассматривайте изменения настроек адаптера узла, включая добавление и (или) репликацию интерфейсов связи.

Меры противодействия

IDM1028НазваниеИзменение конфигурации ОСОписание

По возможности предотвращайте создание новых сетевых адаптеров.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Отключите Bluetooth в настройках безопасности локального компьютера или в групповой политике, если он не нужен в среде.