MaxPatrol EDR

Защищает конечные точки со всеми популярными ОС от сложных и целевых атак

T1074: Промежуточное хранение данных

Злоумышленники могут перемещать собранные данные в определенное центральное хранилище или выбранный каталог перед их эксфильтрацией. Данные могут храниться в отдельных файлах или объединяться в один файл с помощью таких техник, как Архивация собранных данных. При этом могут использоваться интерактивные командные оболочки — в частности, для копирования данных в нужное расположение может задействоваться стандартная функциональность cmd и bash.

В облачных средах злоумышленники могут готовить данные к эксфильтрации на отдельном экземпляре или виртуальной машине. Злоумышленник может создать облачный экземпляр и использовать его для промежуточного хранения данных.

Перед эксфильтрацией злоумышленники могут перемещать данные из целевой сети в определенное центральное хранилище, чтобы свести к минимуму количество подключений к командному серверу и снизить вероятность обнаружения.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте процессы, которые читают файлы из разных мест и записывают их в один каталог или файл. Это может указывать на подготовку данных к промежуточному хранению, особенно если есть подозрения, что файлы шифруются или сжимаются с помощью 7zip, RAR, ZIP или zlib.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

По возможности отслеживайте попытки доступа к локальным репозиториям (например, реестру Windows) и их модификации, особенно если данные действия выполняются подозрительными процессами, которые могут быть связаны со сбором данных злоумышленниками.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора и объединения файлов. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора данных и их копирования в другое расположение. Для сбора и промежуточного хранения данных также могут использоваться системные средства администрирования, такие как инструментарий управления Windows и PowerShell.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Осматривайте общедоступные каталоги, центральные хранилища и часто используемые для хранения каталоги (корзина, папки с временными файлами и т. п.) и периодически проверяйте, нет ли в них сжатых или зашифрованных файлов — возможно, там злоумышленник хранит собранные данные.