T1560: Архивация собранных данных

Злоумышленники могут сжать и (или) зашифровать собранные данные перед их эксфильтрацией. Сжатие данных помогает замаскировать собранную информацию и уменьшить объем передаваемых по сети данных. Шифрование помогает избежать обнаружения украденной информации или сделать утечку менее заметной во время проверки специалистами по безопасности.

Сжатие и шифрование выполняются перед эксфильтрацией и могут осуществляться с помощью утилит, сторонних библиотек или нестандартных методов.

Какие продукты Positive Technologies покрывают технику

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для сжатия или шифрования данных перед их эксфильтрацией, например в формате TAR.

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте недавно созданные процессы и (или) командные строки, которые используются для сжатия или шифрования данных перед их эксфильтрацией, например с помощью 7-Zip, WinRAR и WinZip. После осуществления сбора данных перед их эксфильтрацией злоумышленники, вероятно, воспользуются техникой Архивация собранных данных, чтобы сократить количество передаваемых файлов и время их передачи. Существует много инструментов для сжатия данных, но при анализе командной строки следует сосредоточиться на таких архиваторах, как 7-Zip, WinRAR и WinZip. Помимо поиска по именам этих приложений, запуск архиваторов через командную строку можно обнаружить по флагу "* a *". Этот метод позволяет отслеживать обращения к архиваторам, даже если злоумышленники переименовывали их исполняемые файлы.

Примечание. Анализ отслеживает аргумент командной строки a, который используется приложением WinRAR. Важно помнить, что некоторые другие программы могут использовать этот аргумент в легитимных целях. Для исключения ложных срабатываний следует применять фильтр.

Анализ 1. Запуск средств архивации через командную строку

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") CommandLine="* a *"

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, которые записываются с расширениями и (или) заголовками, связанными со сжатыми или зашифрованными типами файлов. Для их обнаружения можно сосредоточиться на поздних этапах эксфильтрации. Передачу сжатых или зашифрованных файлов можно выявить, анализируя заголовки файлов с помощью средств обнаружения сетевых вторжений или систем предотвращения потери данных.

Меры противодействия

IDM1047НазваниеАудитОписание

Для выявления несанкционированных утилит архивации можно провести сканирование системы.