T1567.002: Эксфильтрация в облачное хранилище
Злоумышленники могут использовать для эксфильтрации данных сервис облачного хранилища, а не основной канал взаимодействия с командным сервером. Такие сервисы позволяют хранить, редактировать и извлекать данные из удаленного облачного хранилища через интернет.
Примеры облачных хранилищ — Dropbox и Google Docs. Эксфильтрация данных в эти облачные хранилища может обеспечить злоумышленнику хорошее прикрытие, особенно если эти сервисы уже используются хостами сети.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
microsoft_sharepoint: PT-CR-2111: Sharepoint_critical_data_manipulation: Выполнено действие с критически важным файлом
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Monitor for newly constructed network connections to cloud services associated with abnormal or non-browser processes. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. Monitor for cloud storages for data exfiltration. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Monitor for files being accessed to exfiltrate data to a cloud storage service rather than over their primary command and control channel. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may exfiltrate data to a cloud storage service rather than over their primary command and control channel. |
---|
Меры противодействия
ID | M1021 | Название | Ограничения для веб-контента | Описание | Web proxies can be used to enforce an external network communication policy that prevents use of unauthorized external services. |
---|