T1011.001: Эксфильтрация через Bluetooth

Злоумышленники могут попытаться извлечь данные из системы по Bluetooth, а не через канал взаимодействия с командным сервером. Если связь с командным сервером осуществляется через проводное подключение к интернету, злоумышленники могут выбрать для эксфильтрации данных Bluetooth-соединение.

Злоумышленники могут использовать этот метод, если имеют достаточный уровень доступа и физически находятся достаточно близко к цели. Bluetooth-соединения могут быть защищены не так надежно, как основной канал подключения к интернету, поскольку не связаны с корпоративной сетью.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, позволяющих выполнить эксфильтрацию через Bluetooth, например BlueDispatcher.exe

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к файлам, которые могут быть связаны с эксфильтрацией, включая чтение файла процессом с активным сетевым подключением. Также отслеживайте и рассматривайте изменения настроек адаптера узла, включая добавление и (или) репликацию интерфейсов связи.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте аномальные потоки сетевых данных, например использование необычных или неожиданных в данном контексте протоколов.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения данных из системы по Bluetooth, а не через канал взаимодействия с командным сервером.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений, которые могут использоваться для извлечения данных из системы по Bluetooth, а не через канал взаимодействия с командным сервером. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	Источник и компонент данных	Описание
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к файлам, которые могут быть связаны с эксфильтрацией, включая чтение файла процессом с активным сетевым подключением. Также отслеживайте и рассматривайте изменения настроек адаптера узла, включая добавление и (или) репликацию интерфейсов связи.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте аномальные потоки сетевых данных, например использование необычных или неожиданных в данном контексте протоколов.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения данных из системы по Bluetooth, а не через канал взаимодействия с командным сервером.
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений, которые могут использоваться для извлечения данных из системы по Bluetooth, а не через канал взаимодействия с командным сервером. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

ID	M1028	Название	Изменение конфигурации ОС	Описание	По возможности предотвращайте создание новых сетевых адаптеров.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Отключите Bluetooth в настройках безопасности локального компьютера или в групповой политике, если он не нужен в среде.

ID	Название	Описание
M1028	Изменение конфигурации ОС	По возможности предотвращайте создание новых сетевых адаптеров.
M1042	Отключение или удаление компонента или программы	Отключите Bluetooth в настройках безопасности локального компьютера или в групповой политике, если он не нужен в среде.