T1025: Данные со съемных носителей
Злоумышленники могут осуществлять поиск интересующих их файлов на съемных носителях, подключенных к скомпрометированным компьютерам. Перед эксфильтрацией конфиденциальные данные могут быть извлечены с любого съемного носителя (например, оптического диска или USB-накопителя), подключенного к скомпрометированной системе. При этом могут использоваться интерактивные командные оболочки — в частности, для сбора информации может задействоваться стандартная функциональность интерпретатора командной строки cmd.
Некоторые злоумышленники также могут использовать автоматизированный сбор данных со съемных носителей.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_collection: PT-CR-1012: Export_Certs: Попытка экспорта сертификатов или ключевых контейнеров
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения файлов с подключенных к системе съемных носителей. Например, сбор данных может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте аномальные попытки доступа к файлам, которые хранятся на съемных носителях (например, оптическом диске или USB-накопителе), подключенном к скомпрометированной системе. |
---|
Меры противодействия
ID | M1057 | Название | Предотвращение потери данных | Описание | Предотвращение потери данных может помочь ограничить доступ к конфиденциальным данным и обнаружить незашифрованные конфиденциальные данные. |
---|