Техника на mitre.org

T1020: Автоматизированная эксфильтрация

Злоумышленники могут использовать автоматизированные методы для эксфильтрации данных (например, конфиденциальных документов) после их сбора.

Если используется автоматизированная эксфильтрация, то для передачи информации из сети, скорее всего, применяются и другие техники эксфильтрации, такие как Эксфильтрация по каналу управления и Эксфильтрация по альтернативному протоколу.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Подтехники

T1020.001 Дублирование трафика

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для эксфильтрации собранных данных (например, важных или конфиденциальных документов) с помощью автоматизированных средств.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте и анализируйте сетевые потоки данных, связанные с протоколами, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, или необычные шаблоны трафика). По возможности отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами или непредвиденными устройствами, а также отслеживайте другие необычные потоки данных.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются аномальными или недоверенными узлами.

ID	DS0012	Источник и компонент данных	Сценарий: Выполнение сценария	Описание	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте аномальный доступ к файлам, особенно к важным документам (например, с расширениями .pdf, .docx или .jpg) — злоумышленники могут использовать автоматизированные методы для эксфильтрации данных после их сбора.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте сетевой трафик на наличие признаков эксфильтрации данных, в частности внимательно проверяйте содержащий собранные данные исходящий трафик неизвестного происхождения или имеющий другие аномальные признаки. По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки, связанных со сбором и эксфильтрацией данных.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для эксфильтрации собранных данных (например, важных или конфиденциальных документов) с помощью автоматизированных средств.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте и анализируйте сетевые потоки данных, связанные с протоколами, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, или необычные шаблоны трафика). По возможности отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами или непредвиденными устройствами, а также отслеживайте другие необычные потоки данных.
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются аномальными или недоверенными узлами.
DS0012	Сценарий: Выполнение сценария	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.
DS0022	Файл: Доступ к файлу	Отслеживайте аномальный доступ к файлам, особенно к важным документам (например, с расширениями .pdf, .docx или .jpg) — злоумышленники могут использовать автоматизированные методы для эксфильтрации данных после их сбора.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте сетевой трафик на наличие признаков эксфильтрации данных, в частности внимательно проверяйте содержащий собранные данные исходящий трафик неизвестного происхождения или имеющий другие аномальные признаки. По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки, связанных со сбором и эксфильтрацией данных.