T1048: Эксфильтрация по альтернативному протоколу
Злоумышленники могут извлекать данные из системы по протоколу, отличному от используемого для взаимодействия с командным сервером. Данные также могут передаваться на узел сети, отличный от основного командного сервера.
В качестве альтернативных протоколов могут использоваться FTP, SMTP, HTTP, HTTPS, DNS, SMB или любой другой сетевой протокол, не используемый в канале управления. Злоумышленники также могут шифровать и (или) обфусцировать эти альтернативные каналы.
Эксфильтрация по альтернативному протоколу может осуществляться с помощью стандартных утилит операционной системы, таких как net/SMB или ftp. В macOS и Linux для эксфильтрации данных из системы по таким протоколам, как HTTP, HTTPS, FTP или FTPS, может использоваться команда curl
.
Многие платформы IaaS (infrastructure as a service) и SaaS (software as a service) (например, Microsoft Exchange, Microsoft SharePoint, GitHub и AWS S3) поддерживают прямую загрузку файлов, электронных писем, исходного кода и другой конфиденциальной информации через веб-консоль или облачный API.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD имеет несколько способов обнаружения эксфильтрации данных по альтернативному протоколу при помощи правил обнаружения и модулей ленты активностей или вручную с помощью фильтров.
Примеры правил обнаружения PT NAD
- SPYWARE [PTsecurity] AgentTesla Exfiltration via SMTP (sid 10003865)
- ET POLICY curl User-Agent Outbound (sid 2013028)
Примеры фильтров PT NAD
- http.rqs.user-agent ~ "curl*"
- app_proto == "smtp"
- app_proto == "ftp"
Примеры модулей обнаружения PT NAD
- DNS-туннелирование
- ICMP-туннель
Способы обнаружения
ID | DS0010 | Источник и компонент данных | Облачное хранилище: Обращение к облачному хранилищу | Описание | Отслеживайте нетипичные запросы к облачным службам хранения данных. Активность неожиданного происхождения может указывать на неправильные разрешения в системе, позволяющие доступ к данным. Подозрительными также считаются случаи, когда после нескольких неудачных попыток доступа пользователь сразу же получает привилегированные права доступа к тому же объекту. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте аномальные случаи загрузки файлов из облачных файловых хранилищ, таких как Google Drive или Microsoft OneDrive, например большое количество загрузок одним пользователем за короткий период времени. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения об этом могут использоваться платформы анализа поведения. Кроме того, для обнаружения событий эксфильтрации конфиденциальных данных и оповещения о таких событиях можно задать политики предотвращения потери данных. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отдельно отслеживайте файлы, с помощью которых злоумышленники могут похищать данные, передавая их по симметрично зашифрованному сетевому протоколу, отличному от используемого в существующем канале взаимодействия с командным сервером. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, с помощью которых можно извлечь данные из системы по сетевому протоколу симметричного шифрования, отличному от используемого для взаимодействия с командным сервером. |
---|
Меры противодействия
ID | M1030 | Название | Сегментация сети | Описание | Следуйте лучшим практикам настройки брандмауэра, чтобы разрешить вход и выход из сети только необходимым портам и трафику. |
---|
ID | M1057 | Название | Предотвращение потери данных | Описание | Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, загружаемые через веб-браузеры. |
---|
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Применяйте прокси-серверы и используйте выделенные серверы для таких служб, как DNS, и разрешайте взаимодействие только этих систем через соответствующие порты/протоколы, а не всех систем в сети. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, связанного с конкретной командно-контрольной инфраструктурой злоумышленника и вредоносными программами, могут быть использованы для снижения активности на сетевом уровне. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Используйте списки контроля доступа к облачным системам хранения и объектам. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Настройте группы пользователей с разным уровнем привилегий и роли для доступа к облачным хранилищам. Внедрите строгие настройки управления идентификацией и доступом (IAM), чтобы предотвратить доступ к хранилищам для тех приложений, пользователей и сервисов, которым он не требуется. Обеспечьте выдачу временных токенов, а не постоянных учетных данных, особенно в случаях, когда доступ получают объекты за пределами границ внутренней безопасности. |
---|