Техника на mitre.org

T1074.001: Промежуточное хранение данных (локально)

Злоумышленники могут перемещать собранные данные в определенное центральное хранилище или выбранный каталог в локальной системе перед их эксфильтрацией. Данные могут храниться в отдельных файлах или объединяться в один файл с помощью таких техник, как Архивация собранных данных. При этом могут использоваться интерактивные командные оболочки — в частности, для копирования данных в нужное расположение может задействоваться стандартная функциональность cmd и bash.

Перед эксфильтрацией злоумышленники могут хранить собранные данные в различных доступных в системе форматах и расположениях, в том числе в локальных базах данных, репозиториях или реестре Windows.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mssql_database: PT-CR-408: MSSQL_Create_File_In_System: Попытка создать файл на жестком диске через базу данных mitre_attck_collection: PT-CR-661: Data_Compression: Пользователь заархивировал данные с помощью утилиты или командлета PowerShell clickhouse: PT-CR-1568: ClickHouse_Outfile_Query: Обнаружена попытка выгрузки данных из таблицы в файл

Способы обнаружения

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	По возможности отслеживайте попытки доступа к локальным репозиториям (например, реестру Windows) и их модификации, особенно если данные действия выполняются подозрительными процессами, которые могут быть связаны со сбором данных злоумышленниками.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора и объединения файлов. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора данных и их копирования в другое расположение. Для сбора и промежуточного хранения данных также могут использоваться системные средства администрирования, такие как инструментарий управления Windows и PowerShell.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Периодически проверяйте каталоги с общим доступом на запись, центральные хранилища и часто используемые для временного хранения каталоги (например, корзину и папки с временными файлами) на наличие сжатых или зашифрованных файлов — они могут быть размещены там злоумышленниками.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте процессы, которые читают файлы из разных мест и записывают их в один каталог или файл. Это может указывать на подготовку данных к промежуточному хранению, особенно если есть подозрения, что файлы шифруются или сжимаются с помощью 7zip, RAR, ZIP или zlib.

ID	Источник и компонент данных	Описание
DS0024	Реестр Windows: Изменение ключа реестра Windows	По возможности отслеживайте попытки доступа к локальным репозиториям (например, реестру Windows) и их модификации, особенно если данные действия выполняются подозрительными процессами, которые могут быть связаны со сбором данных злоумышленниками.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора и объединения файлов. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора данных и их копирования в другое расположение. Для сбора и промежуточного хранения данных также могут использоваться системные средства администрирования, такие как инструментарий управления Windows и PowerShell.
DS0022	Файл: Создание файла	Периодически проверяйте каталоги с общим доступом на запись, центральные хранилища и часто используемые для временного хранения каталоги (например, корзину и папки с временными файлами) на наличие сжатых или зашифрованных файлов — они могут быть размещены там злоумышленниками.
DS0022	Файл: Доступ к файлу	Отслеживайте процессы, которые читают файлы из разных мест и записывают их в один каталог или файл. Это может указывать на подготовку данных к промежуточному хранению, особенно если есть подозрения, что файлы шифруются или сжимаются с помощью 7zip, RAR, ZIP или zlib.