Техника на mitre.org

T1560.001: Архивация с помощью утилиты

Злоумышленники могут использовать утилиты для сжатия или шифрования данных перед их эксфильтрацией. Многие утилиты предлагают функции сжатия, шифрования или упаковки данных, чтобы сделать их компактнее и защитить при хранении и передаче.

Злоумышленники могут пользоваться различными утилитами для сжатия или шифрования данных перед их эксфильтрацией. Некоторые сторонние утилиты могут быть предустановлены в ОС, например tar в Linux и macOS или zip в Windows.

В Windows можно использовать утилиту diantz или makecab, чтобы упаковать собранные файлы в архив CAB. Утилита diantz также поддерживает загрузку и сжатие файлов из удаленных расположений (то есть может использоваться для реализации техники Промежуточное хранение данных (удаленно)). Утилита xcopy в Windows дает возможность копировать файлы и каталоги с различными параметрами. Кроме того, злоумышленники могут применить certutil, чтобы закодировать данные по алгоритму Base64 перед эксфильтрацией.

Злоумышленники также могут выполнить аналогичные действия с помощью сторонних утилит, таких как 7-Zip, WinRAR и WinZip.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-661: Data_Compression: Пользователь заархивировал данные с помощью утилиты или командлета PowerShell

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание процессов и (или) выполнение командных строк, которые используются для сжатия или шифрования данных перед их эксфильтрацией, например с помощью 7-Zip, WinRAR и WinZip. После осуществления сбора данных перед их эксфильтрацией злоумышленники, вероятно, воспользуются техникой Архивация собранных данных, чтобы сократить количество передаваемых файлов и время их передачи. Существует много инструментов для сжатия данных, но при анализе командной строки следует сосредоточиться на таких архиваторах, как 7-Zip, WinRAR и WinZip. Помимо поиска по именам этих приложений, запуск архиваторов через командную строку можно обнаружить по флагу "* a ". Этот метод позволяет отслеживать обращения к архиваторам, даже если злоумышленники переименовывали их исполняемые файлы. Примечание. Аналитика отслеживает аргумент командной строки a, который используется приложением WinRAR. Важно помнить, что некоторые другие программы могут использовать этот аргумент в легитимных целях. Для исключения ложных срабатываний следует применять фильтр. Аналитика 1. Запуск средств архивации через командную строку `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") CommandLine=" a *"`

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сжатия или шифрования данных перед их эксфильтрацией, например в формате TAR.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте недавно созданные файлы, которые записываются с расширениями и (или) заголовками, связанными со сжатыми или зашифрованными типами файлов. Для их обнаружения можно сосредоточиться на поздних этапах эксфильтрации. Передачу сжатых или зашифрованных файлов можно выявить, анализируя заголовки файлов с помощью средств обнаружения сетевых вторжений или систем предотвращения потери данных.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте создание процессов и (или) выполнение командных строк, которые используются для сжатия или шифрования данных перед их эксфильтрацией, например с помощью 7-Zip, WinRAR и WinZip. После осуществления сбора данных перед их эксфильтрацией злоумышленники, вероятно, воспользуются техникой Архивация собранных данных, чтобы сократить количество передаваемых файлов и время их передачи. Существует много инструментов для сжатия данных, но при анализе командной строки следует сосредоточиться на таких архиваторах, как 7-Zip, WinRAR и WinZip. Помимо поиска по именам этих приложений, запуск архиваторов через командную строку можно обнаружить по флагу "* a ". Этот метод позволяет отслеживать обращения к архиваторам, даже если злоумышленники переименовывали их исполняемые файлы. Примечание. Аналитика отслеживает аргумент командной строки a, который используется приложением WinRAR. Важно помнить, что некоторые другие программы могут использовать этот аргумент в легитимных целях. Для исключения ложных срабатываний следует применять фильтр. Аналитика 1. Запуск средств архивации через командную строку `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") CommandLine=" a *"`
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сжатия или шифрования данных перед их эксфильтрацией, например в формате TAR.
DS0022	Файл: Создание файла	Отслеживайте недавно созданные файлы, которые записываются с расширениями и (или) заголовками, связанными со сжатыми или зашифрованными типами файлов. Для их обнаружения можно сосредоточиться на поздних этапах эксфильтрации. Передачу сжатых или зашифрованных файлов можно выявить, анализируя заголовки файлов с помощью средств обнаружения сетевых вторжений или систем предотвращения потери данных.

Меры противодействия

ID	M1047	Название	Аудит	Описание	Для выявления несанкционированных утилит архивации можно провести сканирование системы.

ID	Название	Описание
M1047	Аудит	Для выявления несанкционированных утилит архивации можно провести сканирование системы.