T1560: Архивация собранных данных
Злоумышленники могут сжать и (или) зашифровать собранные данные перед их эксфильтрацией. Сжатие данных помогает замаскировать собранную информацию и уменьшить объем передаваемых по сети данных. Шифрование помогает избежать обнаружения украденной информации или сделать утечку менее заметной во время проверки специалистами по безопасности.
Сжатие и шифрование выполняются перед эксфильтрацией и могут осуществляться с помощью утилит, сторонних библиотек или нестандартных методов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сжатия или шифрования данных перед их эксфильтрацией, например в формате TAR. |
---|
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте недавно созданные процессы и (или) командные строки, которые используются для сжатия или шифрования данных перед их эксфильтрацией, например с помощью 7-Zip, WinRAR и WinZip. После осуществления сбора данных перед их эксфильтрацией злоумышленники, вероятно, воспользуются техникой Архивация собранных данных, чтобы сократить количество передаваемых файлов и время их передачи. Существует много инструментов для сжатия данных, но при анализе командной строки следует сосредоточиться на таких архиваторах, как 7-Zip, WinRAR и WinZip. Помимо поиска по именам этих приложений, запуск архиваторов через командную строку можно обнаружить по флагу "* a *". Этот метод позволяет отслеживать обращения к архиваторам, даже если злоумышленники переименовывали их исполняемые файлы. Примечание. Анализ отслеживает аргумент командной строки a, который используется приложением WinRAR. Важно помнить, что некоторые другие программы могут использовать этот аргумент в легитимных целях. Для исключения ложных срабатываний следует применять фильтр. Анализ 1. Запуск средств архивации через командную строку
|
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, которые записываются с расширениями и (или) заголовками, связанными со сжатыми или зашифрованными типами файлов. Для их обнаружения можно сосредоточиться на поздних этапах эксфильтрации. Передачу сжатых или зашифрованных файлов можно выявить, анализируя заголовки файлов с помощью средств обнаружения сетевых вторжений или систем предотвращения потери данных. |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Для выявления несанкционированных утилит архивации можно провести сканирование системы. |
---|