Техника на mitre.org

T1567: Эксфильтрация через веб-службу

Злоумышленники могут использовать для эксфильтрации данных из системы существующую легитимную стороннюю веб-службу, а не основной канал взаимодействия с командным сервером. Популярные веб-службы, выступающие в качестве такого механизма, могут обеспечить эффективную маскировку в силу того, что коммуникация между ними и хостами в сети часто существует и до компрометации, и, соответственно, правила межсетевого экрана могут разрешать трафик к этим сервисам.

Кроме того, поставщики веб-служб обычно используют шифрование SSL/TLS, что дает злоумышленникам дополнительный уровень защиты.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mssql_database: PT-CR-421: MSSQL_Send_Query_Results: Попытка отправить результаты выполнения запроса по электронной почте

Подтехники

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте новые сетевые подключения к облачным и веб-службам из необычных или не относящихся к браузерам процессов.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для эксфильтрации данных через репозиторий кода, а не через основной канал взаимодействия с командным сервером.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Просматривайте журналы сервисов SaaS (software as a service), в том числе Office 365 и Google Workspace, чтобы обнаружить настройку новых webhook или других функций, которые могут использоваться для эксфильтрации данных.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Отслеживайте использование репозиториев кода для эксфильтрации данных.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к файлам для эксфильтрации данных через репозиторий кода вместо основного канала взаимодействия с командным сервером.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте новые сетевые подключения к облачным и веб-службам из необычных или не относящихся к браузерам процессов.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для эксфильтрации данных через репозиторий кода, а не через основной канал взаимодействия с командным сервером.
DS0015	Журналы приложений: Содержимое журналов приложений	Просматривайте журналы сервисов SaaS (software as a service), в том числе Office 365 и Google Workspace, чтобы обнаружить настройку новых webhook или других функций, которые могут использоваться для эксфильтрации данных.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Отслеживайте использование репозиториев кода для эксфильтрации данных.
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к файлам для эксфильтрации данных через репозиторий кода вместо основного канала взаимодействия с командным сервером.

Меры противодействия

ID	M1057	Название	Предотвращение потери данных	Описание	Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, загружаемые в веб-сервисы через браузеры.

ID	M1021	Название	Ограничения для веб-контента	Описание	Можно использовать веб-прокси, чтобы реализовать политику внешних сетевых коммуникаций, которая предотвращает использование несанкционированных внешних сервисов.

ID	Название	Описание
M1057	Предотвращение потери данных	Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, загружаемые в веб-сервисы через браузеры.
M1021	Ограничения для веб-контента	Можно использовать веб-прокси, чтобы реализовать политику внешних сетевых коммуникаций, которая предотвращает использование несанкционированных внешних сервисов.