T1119: Автоматизированный сбор данных
После закрепления в системе или сети злоумышленники могут настроить и использовать автоматизированные техники сбора данных. При реализации этой техники может использоваться интерпретатор командной строки и сценариев для поиска и копирования через определенные промежутки времени информации, соответствующей заданным критериям, таким как тип, расположение или имя файла.
В облачных средах злоумышленники также могут использовать облачные API, конвейеры данных, интерфейсы командной строки или сервисы извлечения, преобразования и загрузки данных (ETL) для автоматического сбора данных.
Эти функции также могут быть встроены в средства удаленного доступа.
В рамках этой техники могут также использоваться и другие техники, такие как Изучение файлов и каталогов и Передача инструментов внутри периметра для идентификации и перемещения файлов, а также Дашборд облачного сервиса и Изучение объектов облачного хранилища для идентификации ресурсов в облачных средах.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
netflow: PT-CR-2919: Netflow_Large_File_Transfer: Большой объем данных отправлен с узла. Это может быть признаком сбора данных с узла web_servers_abnormal_activity: PT-CR-640: Web_Automation_Tool: Использование ПО для автоматизации запросов к веб-службам hacking_tools: PT-CR-2244: SOAPHound_Usage: Использована утилита SOAPHound, предназначенная для сбора данных Active Directory через протокол веб-служб Active Directory (ADWS) vsphere_suspicious_user_activity: PT-CR-518: Mass_Downloading_Files_Of_Critical_VM: Скачаны файлы с нескольких виртуальных машин, важных с точки зрения ИБ
Способы обнаружения
| ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора данных. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки просмотра нетипичных файлов (например, с расширениями .pdf, .docx или .jpg) с целью сбора данных. |
|---|
Меры противодействия
| ID | M1041 | Название | Шифрование важной информации | Описание | Шифрование и внесистемное хранение конфиденциальной информации могут быть одним из способов защиты от сбора файлов, но если вторжение продолжается в течение длительного времени, есть вероятность, что злоумышленник сможет обнаружить данные и получить доступ к ним другим путем. Надежные пароли должны использоваться в определенных зашифрованных документах, чтобы предотвратить их взлом в автономном режиме с помощью метода перебора. |
|---|
| ID | M1029 | Название | Удаленное хранение данных | Описание | Шифрование и внесистемное хранение конфиденциальной информации могут быть одним из способов защиты от сбора файлов, но если вторжение продолжается в течение длительного времени, есть вероятность, что злоумышленник сможет обнаружить данные и получить доступ к ним другим путем. |
|---|