T1074: Промежуточное хранение данных
Злоумышленники могут перемещать собранные данные в определенное центральное хранилище или выбранный каталог перед их эксфильтрацией. Данные могут храниться в отдельных файлах или объединяться в один файл с помощью таких техник, как Архивация собранных данных. При этом могут использоваться интерактивные командные оболочки — в частности, для копирования данных в нужное расположение может задействоваться стандартная функциональность cmd и bash.
В облачных средах злоумышленники могут готовить данные к эксфильтрации на отдельном экземпляре или виртуальной машине. Злоумышленник может создать облачный экземпляр и использовать его для промежуточного хранения данных.
Перед эксфильтрацией злоумышленники могут перемещать данные из целевой сети в определенное центральное хранилище, чтобы свести к минимуму количество подключений к командному серверу и снизить вероятность обнаружения.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте процессы, которые читают файлы из разных мест и записывают их в один каталог или файл. Это может указывать на подготовку данных к промежуточному хранению, особенно если есть подозрения, что файлы шифруются или сжимаются с помощью 7zip, RAR, ZIP или zlib. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | По возможности отслеживайте попытки доступа к локальным репозиториям (например, реестру Windows) и их модификации, особенно если данные действия выполняются подозрительными процессами, которые могут быть связаны со сбором данных злоумышленниками. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора и объединения файлов. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора данных и их копирования в другое расположение. Для сбора и промежуточного хранения данных также могут использоваться системные средства администрирования, такие как инструментарий управления Windows и PowerShell. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Осматривайте общедоступные каталоги, центральные хранилища и часто используемые для хранения каталоги (корзина, папки с временными файлами и т. п.) и периодически проверяйте, нет ли в них сжатых или зашифрованных файлов — возможно, там злоумышленник хранит собранные данные. |
---|