Техника на mitre.org

T1052.001: Эксфильтрация через USB

Злоумышленники могут попытаться извлечь данные с помощью физического устройства, подключенного по USB. В определенных обстоятельствах, например при компрометации изолированной сети, данные могут быть извлечены из системы на USB-устройстве, подключенном пользователем. USB-устройство может использоваться в качестве конечной точки эксфильтрации или для распространения на другие отключенные от сети системы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий Windows Security Log с идентификатором 6416 для выявления подключения нелегитимных USB-носителей

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов при монтировании съемных носителей.

ID	DS0016	Источник и компонент данных	Накопитель: Создание накопителя	Описание	Отслеживайте появление новых букв диска или точек подключения устройств хранения данных, которые могут использоваться для извлечения данных с помощью физического устройства, подключенного по USB.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к файлам, которые хранятся на съемных носителях и через которые злоумышленники могут попытаться извлечь данные с помощью физического устройства, подключенного по USB.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения данных из системы с помощью физического устройства, подключенного по USB.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов при монтировании съемных носителей.
DS0016	Накопитель: Создание накопителя	Отслеживайте появление новых букв диска или точек подключения устройств хранения данных, которые могут использоваться для извлечения данных с помощью физического устройства, подключенного по USB.
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к файлам, которые хранятся на съемных носителях и через которые злоумышленники могут попытаться извлечь данные с помощью физического устройства, подключенного по USB.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения данных из системы с помощью физического устройства, подключенного по USB.

Меры противодействия

ID	M1057	Название	Предотвращение потери данных	Описание	Предотвращение потери данных может обнаружить и заблокировать копирование конфиденциальных данных на USB-устройства.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Отключите автозапуск, если в нем нет необходимости . Запретите или ограничьте использование съемных носителей на уровне организационной политики, если они не требуются для выполнения бизнес-операций .

ID	M1034	Название	Ограничение установки аппаратного обеспечения	Описание	Ограничьте использование USB-устройств и съемных носителей в сети.

ID	Название	Описание
M1057	Предотвращение потери данных	Предотвращение потери данных может обнаружить и заблокировать копирование конфиденциальных данных на USB-устройства.
M1042	Отключение или удаление компонента или программы	Отключите автозапуск, если в нем нет необходимости . Запретите или ограничьте использование съемных носителей на уровне организационной политики, если они не требуются для выполнения бизнес-операций .
M1034	Ограничение установки аппаратного обеспечения	Ограничьте использование USB-устройств и съемных носителей в сети.