T1567.001: Эксфильтрация в репозиторий кода
Злоумышленники могут использовать для эксфильтрации данных репозиторий кода, а не основной канал взаимодействия с командным сервером. Репозитории кода часто доступны через API (например: https://api.github.com). Доступ к этим API нередко осуществляется через HTTPS, что добавляет дополнительный уровень защиты для злоумышленников.
Эксфильтрация данных в популярный репозиторий кода может обеспечить злоумышленнику хорошее прикрытие, особенно если сервис часто используется хостами сети.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен определять сервис, к которому происходит обращение, что позволяет оператору при помощи фильтров искать аномальные сетевые сессии с запросами к репозиториям кода.
Примеры фильтров PT NAD
- app_service == "Github"
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для эксфильтрации данных через репозиторий кода, а не через основной канал взаимодействия с командным сервером. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Отслеживайте использование репозиториев кода для эксфильтрации данных. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки доступа к файлам для эксфильтрации данных через репозиторий кода вместо основного канала взаимодействия с командным сервером. |
---|
Меры противодействия
ID | M1021 | Название | Ограничения для веб-контента | Описание | Для реализации политики внешних сетевых коммуникаций, предотвращающей использование несанкционированных внешних сервисов, можно использовать веб-прокси. |
---|