MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1039: Данные с общих сетевых дисков

Злоумышленники могут искать интересующие их файлы в общих сетевых ресурсах на скомпрометированных компьютерах. Перед эксфильтрацией конфиденциальные данные могут собираться из удаленных систем через общие сетевые ресурсы (например, общий каталог хоста или сетевой файловый сервер), доступные из текущей системы. При этом могут использоваться интерактивные командные оболочки — в частности, для сбора информации может задействоваться стандартная функциональность интерпретатора командной строки cmd.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-660: Access_into_Sensitive_Files_via_Network_Share: Пользователь получил доступ к файлу, содержащему учетные данные, в общей сетевой папке
mitre_attck_collection: PT-CR-490: Access_PST_file_in_share: Удаленный доступ к файлу Outlook Data File (.pst) или Offline Outlook Data File (.ost) в течение 30 секунд после аутентификации. Файл PST содержит сообщения и другие элементы Outlook, а файл OST, используется для хранения синхронизированной копии информации о почтовом ящике
mitre_attck_collection: PT-CR-503: Suspicious_Access_To_Users_Folder: Обнаружение попыток получить доступ к объекту удаленной файловой системы с путем по маске "C:\Users*"

Способы обнаружения

IDDS0033Источник и компонент данныхСетевая папка: Доступ к сетевой папкеОписание

Отслеживайте неожиданные и необычные случаи доступа к сетевым папкам.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения файлов из общих сетевых папок. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора данных и их копирования в другое расположение. Для сбора и промежуточного хранения данных также могут использоваться системные средства администрирования, такие как инструментарий управления Windows и PowerShell.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений, которые могут использоваться злоумышленниками для поиска интересующих их файлов в общих сетевых ресурсах на скомпрометированных компьютерах. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах, например SMB, которые относятся к использованию общих сетевых ресурсов.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах, например SMB, которые относятся к использованию общих сетевых ресурсов. Хотя на узле могут существовать более нативные способы получения детальной информации о событиях SMB, эти сведения также можно извлечь из сетевого трафика. С помощью соответствующих декодеров протоколов можно фильтровать трафик порта 445 и даже получать путь к файлу (относительно сетевого ресурса).

Более внимательный анализ этой активности, выделяющейся среди стандартных операций, поможет обнаружить злоумышленников, которые перемещаются между узлами. Из-за высокого объема SMB-трафика во многих средах эту аналитику сложно использовать для быстрого обнаружения APT-атак. В некоторых случаях имеет смысл проводить его в рамках криминалистического анализа. Проверка и фильтрация результатов анализа после обнаружения вторжения могут помочь в определении масштабов компрометации.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте взаимодействие с общими сетевыми ресурсами файлов, для которых такое взаимодействие нетипично (например, с расширениями .pdf, .docx или .jpg).