Техника на mitre.org

T1567.002: Эксфильтрация в облачное хранилище

Злоумышленники могут использовать для эксфильтрации данных сервис облачного хранилища, а не основной канал взаимодействия с командным сервером. Такие сервисы позволяют хранить, редактировать и извлекать данные из удаленного облачного хранилища через интернет.

Примеры облачных хранилищ — Dropbox и Google Docs. Эксфильтрация данных в эти облачные хранилища может обеспечить злоумышленнику хорошее прикрытие, особенно если эти сервисы уже используются хостами сети.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

microsoft_sharepoint: PT-CR-2111: Sharepoint_Critical_Data_Manipulation: Выполнено действие с критически важным файлом

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для эксфильтрации данных через сервис облачного хранилища, а не через основной канал взаимодействия с командным сервером.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Отслеживайте использование облачных хранилищ для эксфильтрации данных.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых подключений к облачным службам из необычных или не относящихся к браузерам процессов.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к файлам для эксфильтрации данных через облачное хранилище вместо основного канала взаимодействия с командным сервером.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для эксфильтрации данных через сервис облачного хранилища, а не через основной канал взаимодействия с командным сервером.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. Отслеживайте использование облачных хранилищ для эксфильтрации данных.
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых подключений к облачным службам из необычных или не относящихся к браузерам процессов.
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к файлам для эксфильтрации данных через облачное хранилище вместо основного канала взаимодействия с командным сервером.

Меры противодействия

ID	M1021	Название	Ограничения для веб-контента	Описание	Для реализации политики внешних сетевых коммуникаций, предотвращающей использование несанкционированных внешних сервисов, можно использовать веб-прокси.

ID	Название	Описание
M1021	Ограничения для веб-контента	Для реализации политики внешних сетевых коммуникаций, предотвращающей использование несанкционированных внешних сервисов, можно использовать веб-прокси.