T1565.001: Манипуляции с хранимыми данными
Злоумышленники могут внедрять, удалять или изменять хранимые данные, чтобы нарушить их целостность, повлиять на связанные с ними результаты или скрыть определенную активность. Злоумышленники могут манипулировать хранимыми данными с целью повлиять на бизнес-процессы и затруднить понимание состояния организации и принятие решений.
Сохраненные данные могут включать файлы различных форматов, такие как документы Office, базы данных, электронные письма и другие типы файлов. Тип воздействия и его влияние зависят от формата данных и целей злоумышленника. Чтобы оказать желаемое воздействие на сложные системы, злоумышленнику обычно требуются специальные знания и, возможно, доступ к специализированному программному обеспечению, которые он, как правило, получает в результате длительного сбора информации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
it_bastion: PT-CR-2178: SKDPUNT_Sftp_Access_Failure: СКДПУ НТ регистрирует ошибки доступа на чтение или запись файлов по протоколу SFTP
vsphere_suspicious_user_activity: PT-CR-519: Mass_reconfiguring_protective_VM: Изменены параметры нескольких виртуальных машин с установленным защитным ПО
supply_chain: PT-CR-1760: SupplyChain_Sensitive_File_Access: Пользователь осуществил доступ к системному файлу Jfrog Artifactory, содержащему чувствительную информацию, или изменил конфигурацию сборки TeamCity
supply_chain: PT-CR-1761: SupplyChain_Merge_Request_Apply_Without_Approvers: Слияние в ветку без утверждающих
supply_chain: PT-CR-1762: SupplyChain_Push_Without_Merge_Request: Пользователь отправил изменения в ветку без запроса на слияние
mitre_attck_impact: PT-CR-1840: Hosts_File_Modify: Попытка изменить целостность файла hosts на узлах Windows и Unix
security_code_secret_net_lsp: PT-CR-1891: SecretNet_LSP_export_backup: Экспорт конфигурации Secret Net LSP
security_code_secret_net_lsp: PT-CR-1892: SecretNet_LSP_apply_backup: Замена конфигурации Secret Net LSP
security_code_secret_net_lsp: PT-CR-1905: SecretNet_LSP_manipulate_critical_data: Изменение объекта, для которого осуществляется контроль целостности Secret Net LSP
supply_chain: PT-CR-1934: SupplyChain_TeamCity_Plugin_Modify: Использован плагин. Злоумышленники могут управлять плагинами TeamCity для загрузки вредоносного кода
supply_chain: PT-CR-1963: SupplyChain_TeamCity_Execution_via_Request: Включена возможность удаленного выполнения команд, и выполнен код. Злоумышленники, получив токен доступа к API TeamCity, могут включить опцию rest.debug.processes.enable, позволяющую выполнять команды на сервере с помощью POST-запросов
vulnerabilities: PT-CR-1983: Possible_CVE_2023_20198_Cisco_IOS_XE: Возможная эксплуатация уязвимости CVE-2023-20198 в Cisco IOS XE, связанная с повышением привилегий путем создания новой учетной записи администратора
postgresql_database: PT-CR-1901: PostgreSQL_Update_Configuration: Обновление конфигурации базы данных PostgreSQL может затронуть параметры безопасности хранимых данных
supply_chain: PT-CR-1777: SupplyChain_File_Upload_To_Important_Repository: Пользователь загрузил файл в репозиторий, использовав нестандартную учетную запись или новый адрес
hashicorp: PT-CR-2139: Hashicorp_Vault_Important_Engines_Manipulation: Злоумышленники могут удалять или изменять параметры важных хранилищ (engines) для получения доступа к ним
hashicorp: PT-CR-2140: Hashicorp_Vault_Important_Secrets_Rewrite: Злоумышленники могут перезаписывать важные секреты, чтобы нарушить доступность или работоспособность отдельных систем или получить к ним доступ
microsoft_sharepoint: PT-CR-2111: Sharepoint_critical_data_manipulation: Выполнено действие с критически важным файлом
network_devices_compromise: PT-CR-577: Cisco_ASA_disable_username_hiding: На устройстве Cisco ASA включено сохранение имен пользователей в журнале в открытом виде
enterprise_1c_and_bitrix: PT-CR-676: Enterprise_1C_manipulate_critical_data: Изменен критически важный документ
profiling: PT-CR-1033: App_1C_Enterprise_Object_Modify: Пользователь создал или изменил справочник в системе "1С:ERP"
clickhouse: PT-CR-1563: ClickHouse_backup: Обнаружена попытка создания резервной копии объекта СУБД
unix_mitre_attck_persistence: PT-CR-1662: Unix_Suspicious_Home_Modify: Изменение файлов в домашнем каталоге одного из пользователей
clickhouse: PT-CR-1571: ClickHouse_data_manipulation: Обнаружена попытка внесения изменений в критически важную для СУБД таблицу
clickhouse: PT-CR-1576: ClickHouse_audit_table_modified: Обнаружена попытка изменения системных таблиц system.session_log и system.query_log
vsphere_suspicious_user_activity: PT-CR-520: Reconfiguring_protective_VM: Изменены параметры виртуальной машины с установленным защитным ПО
mysql_database: PT-CR-623: MySQL_host_cache_table_truncate: Обнаружена попытка очистить таблицу кэша адресов
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Monitor for unexpected deletion of a file in order to manipulate external outcomes or hide activity |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for unexpected files with manipulated data in order to manipulate external outcomes or hide activity |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for newly constructed files in order to manipulate external outcomes or hide activity |
---|
Меры противодействия
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ensure least privilege principles are applied to important information resources to reduce exposure to data manipulation risk. |
---|
ID | M1029 | Название | Удаленное хранение данных | Описание | Consider implementing IT disaster recovery plans that contain procedures for taking regular data backups that can be used to restore organizational data. Ensure backups are stored off system and is protected from common methods adversaries may use to gain access and manipulate backups. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | Consider encrypting important information to reduce an adversary’s ability to perform tailored data modifications. |
---|