Техника на mitre.org

T1560.003: Архивация нестандартным методом

Злоумышленник может использовать нестандартные способы для сжатия или шифрования данных перед эксфильтрацией. Злоумышленники могут применять собственные методы архивирования, например шифрование с помощью XOR или потоковые шифры, не зависящие от внешних библиотек или утилит. Также известны случаи модификации популярных алгоритмов сжатия.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-661: Data_Compression: Пользователь заархивировал данные с помощью утилиты или командлета PowerShell

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте недавно созданные файлы, которые записываются с расширениями и (или) заголовками, связанными со сжатыми или зашифрованными типами файлов. Для их обнаружения можно сосредоточиться на поздних этапах эксфильтрации. Передачу сжатых или зашифрованных файлов можно выявить, анализируя заголовки файлов с помощью средств обнаружения сетевых вторжений или систем предотвращения потери данных.

ID	DS0012	Источник и компонент данных	Сценарий: Выполнение сценария	Описание	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Отслеживайте недавно созданные файлы, которые записываются с расширениями и (или) заголовками, связанными со сжатыми или зашифрованными типами файлов. Для их обнаружения можно сосредоточиться на поздних этапах эксфильтрации. Передачу сжатых или зашифрованных файлов можно выявить, анализируя заголовки файлов с помощью средств обнаружения сетевых вторжений или систем предотвращения потери данных.
DS0012	Сценарий: Выполнение сценария	Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.