PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1048: Эксфильтрация по альтернативному протоколу

Злоумышленники могут извлекать данные из системы по протоколу, отличному от используемого для взаимодействия с командным сервером. Данные также могут передаваться на узел сети, отличный от основного командного сервера.

В качестве альтернативных протоколов могут использоваться FTP, SMTP, HTTP, HTTPS, DNS, SMB или любой другой сетевой протокол, не используемый в канале управления. Злоумышленники также могут шифровать и (или) обфусцировать эти альтернативные каналы.

Эксфильтрация по альтернативному протоколу может осуществляться с помощью стандартных утилит операционной системы, таких как net/SMB или ftp. В macOS и Linux для эксфильтрации данных из системы по таким протоколам, как HTTP, HTTPS, FTP или FTPS, может использоваться команда curl.

Многие платформы IaaS (infrastructure as a service) и SaaS (software as a service) (например, Microsoft Exchange, Microsoft SharePoint, GitHub и AWS S3) поддерживают прямую загрузку файлов, электронных писем, исходного кода и другой конфиденциальной информации через веб-консоль или облачный API.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD имеет несколько способов обнаружения эксфильтрации данных по альтернативному протоколу при помощи правил обнаружения и модулей ленты активностей или вручную с помощью фильтров.

Примеры правил обнаружения PT NAD

  • SPYWARE [PTsecurity] AgentTesla Exfiltration via SMTP (sid 10003865)
  • ET POLICY curl User-Agent Outbound (sid 2013028)

Примеры фильтров PT NAD

  • http.rqs.user-agent ~ "curl*"
  • app_proto == "smtp"
  • app_proto == "ftp"

Примеры модулей обнаружения PT NAD

  • DNS-туннелирование
  • ICMP-туннель

Способы обнаружения

IDDS0010Источник и компонент данныхОблачное хранилище: Обращение к облачному хранилищуОписание

Отслеживайте нетипичные запросы к облачным службам хранения данных. Активность неожиданного происхождения может указывать на неправильные разрешения в системе, позволяющие доступ к данным. Подозрительными также считаются случаи, когда после нескольких неудачных попыток доступа пользователь сразу же получает привилегированные права доступа к тому же объекту.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте аномальные случаи загрузки файлов из облачных файловых хранилищ, таких как Google Drive или Microsoft OneDrive, например большое количество загрузок одним пользователем за короткий период времени. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения об этом могут использоваться платформы анализа поведения. Кроме того, для обнаружения событий эксфильтрации конфиденциальных данных и оповещения о таких событиях можно задать политики предотвращения потери данных.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отдельно отслеживайте файлы, с помощью которых злоумышленники могут похищать данные, передавая их по симметрично зашифрованному сетевому протоколу, отличному от используемого в существующем канале взаимодействия с командным сервером.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, с помощью которых можно извлечь данные из системы по сетевому протоколу симметричного шифрования, отличному от используемого для взаимодействия с командным сервером.

Меры противодействия

IDM1030НазваниеСегментация сетиОписание

Следуйте лучшим практикам настройки брандмауэра, чтобы разрешить вход и выход из сети только необходимым портам и трафику.

IDM1057НазваниеПредотвращение потери данныхОписание

Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, загружаемые через веб-браузеры.

IDM1037НазваниеФильтрация сетевого трафикаОписание

Применяйте прокси-серверы и используйте выделенные серверы для таких служб, как DNS, и разрешайте взаимодействие только этих систем через соответствующие порты/протоколы, а не всех систем в сети.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, связанного с конкретной командно-контрольной инфраструктурой злоумышленника и вредоносными программами, могут быть использованы для снижения активности на сетевом уровне.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Используйте списки контроля доступа к облачным системам хранения и объектам.

IDM1018НазваниеУправление учетными записямиОписание

Настройте группы пользователей с разным уровнем привилегий и роли для доступа к облачным хранилищам. Внедрите строгие настройки управления идентификацией и доступом (IAM), чтобы предотвратить доступ к хранилищам для тех приложений, пользователей и сервисов, которым он не требуется. Обеспечьте выдачу временных токенов, а не постоянных учетных данных, особенно в случаях, когда доступ получают объекты за пределами границ внутренней безопасности.