T1565.002: Манипуляции с передаваемыми данными
Злоумышленники могут изменять данные в процессе их перемещения в хранилище или другие системы, чтобы нарушить их целостность, повлиять на связанные с ними результаты или скрыть определенную активность. Злоумышленники могут манипулировать передаваемыми данными с целью повлиять на бизнес-процессы и затруднить понимание состояния организации и принятие решений.
Вмешательство возможно через сетевые соединения или при взаимодействии между системными процессами, если злоумышленнику удастся внедрить инструмент для перехвата и изменения информации. Тип модификации и ее влияние зависят от целевого механизма передачи, а также целей злоумышленника. Чтобы оказать желаемое воздействие на сложные системы, злоумышленнику обычно требуются специальные знания и, возможно, доступ к специализированному программному обеспечению, которые он, как правило, получает в результате длительного сбора информации.
Способы обнаружения
| ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, которые могут использоваться для модификации данных. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора информации. |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте сети, которые запрашивают и получают информацию о конфигурации опрашиваемого устройства. |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. |
|---|
Меры противодействия
| ID | M1041 | Название | Шифрование важной информации | Описание | Шифруйте все важные потоки данных, чтобы уменьшить влияние модификаций, вносимых в данные в пути. |
|---|