T1565.001: Манипуляции с хранимыми данными

Злоумышленники могут внедрять, удалять или изменять хранимые данные, чтобы нарушить их целостность, повлиять на связанные с ними результаты или скрыть определенную активность. Злоумышленники могут манипулировать хранимыми данными с целью повлиять на бизнес-процессы и затруднить понимание состояния организации и принятие решений.

Сохраненные данные могут включать файлы различных форматов, такие как документы Office, базы данных, электронные письма и другие типы файлов. Тип воздействия и его влияние зависят от формата данных и целей злоумышленника. Чтобы оказать желаемое воздействие на сложные системы, злоумышленнику обычно требуются специальные знания и, возможно, доступ к специализированному программному обеспечению, которые он, как правило, получает в результате длительного сбора информации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

supply_chain: PT-CR-1777: SupplyChain_File_Upload_To_Important_Repository: Пользователь загрузил файл в репозиторий, использовав нестандартную учетную запись или новый адрес supply_chain: PT-CR-1934: SupplyChain_TeamCity_Plugin_Modify: Использован плагин. Злоумышленники могут управлять плагинами TeamCity для загрузки вредоносного кода supply_chain: PT-CR-1963: SupplyChain_TeamCity_Execution_Via_Request: Включена возможность удаленного выполнения команд, и выполнен код. Злоумышленники, получив токен доступа к API TeamCity, могут включить опцию rest.debug.processes.enable, позволяющую выполнять команды на сервере с помощью POST-запросов supply_chain: PT-CR-1762: SupplyChain_Push_Without_Merge_Request: Пользователь отправил изменения в ветку без запроса на слияние supply_chain: PT-CR-1761: SupplyChain_Merge_Request_Apply_Without_Approvers: Слияние в ветку без утверждающих supply_chain: PT-CR-1760: SupplyChain_Sensitive_File_Access: Пользователь осуществил доступ к системному файлу Jfrog Artifactory, содержащему чувствительную информацию, или изменил конфигурацию сборки TeamCity enterprise_1c_and_bitrix: PT-CR-676: Enterprise_1C_Manipulate_Critical_Data: Изменен критически важный документ vsphere_suspicious_user_activity: PT-CR-520: Reconfiguring_Protective_VM: Изменены параметры виртуальной машины с установленным защитным ПО vsphere_suspicious_user_activity: PT-CR-519: Mass_Reconfiguring_Protective_VM: Изменены параметры нескольких виртуальных машин с установленным защитным ПО vulnerabilities: PT-CR-1983: Possible_CVE_2023_20198_Cisco_IOS_XE: Возможная эксплуатация уязвимости CVE-2023-20198 в Cisco IOS XE, связанная с повышением привилегий путем создания новой учетной записи администратора it_bastion: PT-CR-2178: SKDPUNT_Sftp_Access_Failure: СКДПУ НТ регистрирует ошибки доступа на чтение или запись файлов по протоколу SFTP hashicorp: PT-CR-2140: Hashicorp_Vault_Important_Secrets_Rewrite: Злоумышленники могут перезаписывать важные секреты, чтобы нарушить доступность или работоспособность отдельных систем или получить к ним доступ hashicorp: PT-CR-2139: Hashicorp_Vault_Important_Engines_Manipulation: Злоумышленники могут удалять или изменять параметры важных хранилищ (engines) для получения доступа к ним mitre_attck_impact: PT-CR-1840: Hosts_File_Modify: Попытка изменить целостность файла hosts на узлах Windows и Unix mysql_database: PT-CR-2302: MySQL_Update_Configuration: Обновление конфигурации базы данных MySQL может затронуть параметры безопасности хранимых данных mysql_database: PT-CR-623: MySQL_Host_Cache_Table_Truncate: Попытка очистить таблицу кэша адресов unix_mitre_attck_persistence: PT-CR-1662: Unix_Suspicious_Home_Modify: Изменение файлов в домашнем каталоге одного из пользователей microsoft_sharepoint: PT-CR-2111: Sharepoint_Critical_Data_Manipulation: Выполнено действие с критически важным файлом network_devices_compromise: PT-CR-577: Cisco_ASA_Disable_Username_Hiding: На устройстве Cisco ASA включено сохранение имен пользователей в журнале в открытом виде clickhouse: PT-CR-1563: ClickHouse_Backup: Обнаружена попытка создания резервной копии объекта СУБД clickhouse: PT-CR-1571: ClickHouse_Data_Manipulation: Обнаружена попытка внесения изменений в критически важную для СУБД таблицу clickhouse: PT-CR-1576: ClickHouse_Audit_Table_Modified: Обнаружена попытка изменения системных таблиц system.session_log и system.query_log microsoft_exchange: PT-CR-2357: Exchange_Remove_Dismount_Mailbox_Database: Удаление или размонтирование базы данных Exchange. Это может быть действием злоумышленника с целью нарушить доступность системных и сетевых ресурсов profiling: PT-CR-1033: App_1C_Enterprise_Object_Modify: Пользователь создал или изменил справочник в системе "1С:ERP" security_code_secret_net_lsp: PT-CR-1891: SecretNet_LSP_Export_Backup: Экспорт конфигурации Secret Net LSP security_code_secret_net_lsp: PT-CR-1905: SecretNet_LSP_Manipulate_Critical_Data: Изменение объекта, для которого осуществляется контроль целостности Secret Net LSP security_code_secret_net_lsp: PT-CR-1892: SecretNet_LSP_Apply_Backup: Замена конфигурации Secret Net LSP postgresql_database: PT-CR-1901: PostgreSQL_Update_Configuration: Обновление конфигурации базы данных PostgreSQL может затронуть параметры безопасности хранимых данных

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте нетипичные манипуляции над данными в файлах, целью которых могут являться изменение связанных с данными результатов или скрытие определенной активности.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, целью которого могут являться изменение связанных с данными результатов или скрытие определенной активности.

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте нетипичное удаление файлов, целью которого могут являться изменение связанных с данными результатов или скрытие определенной активности.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Проследите, чтобы к важным информационным ресурсам применялся принцип минимальных привилегий для снижения риска манипуляций с данными.

IDM1041НазваниеШифрование важной информацииОписание

По возможности шифруйте важную информацию, чтобы уменьшить возможности злоумышленника по модификации данных.

IDM1029НазваниеУдаленное хранение данныхОписание

По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать для получения доступа и манипулирования резервными копиями.