T1560.002: Архивация с помощью библиотеки
Злоумышленник может сжать или зашифровать собранные данные с помощью сторонних библиотек перед эксфильтрацией. Существует множество библиотек для архивации данных, в том числе rarfile для Python, libzip и zlib. Большинство таких библиотек содержат функции шифрования и (или) сжатия данных.
Некоторые библиотеки для архивации предустановлены в ОС, например bzip2 в macOS и Linux, а также zip в Windows. Обратите внимание на отличие библиотек от утилит. Библиотеки могут прилинковываться во время компиляции, в то время как утилиты требуют создания командной оболочки или аналогичного механизма выполнения.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_collection: PT-CR-661: Data_Compression: Пользователь заархивировал данные с помощью утилиты или командлета PowerShell
Способы обнаружения
| ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, которые записываются с расширениями и (или) заголовками, связанными со сжатыми или зашифрованными типами файлов. Для их обнаружения можно сосредоточиться на поздних этапах эксфильтрации. Передачу сжатых или зашифрованных файлов можно выявить, анализируя заголовки файлов с помощью средств обнаружения сетевых вторжений или систем предотвращения потери данных. |
|---|