T1567.003: Эксфильтрация на сайт для хранения текста
Злоумышленники могут использовать для эксфильтрации данных сайт для хранения текста, а не основной канал взаимодействия с командным сервером. Сайты для хранения текста, подобные pastebin[.]com
, регулярно используются разработчиками для обмена кодом и другой информацией.
На таких сайтах часто размещается вредоносный код для коммуникаций с командным севером (см. Размещение средств). Злоумышленники также могут использовать их для эксфильтрации собранных данных. Платные функции и поддержка шифрования могут помочь злоумышленникам более безопасно скрывать и хранить данные.
Примечание. Техника отличается от эксфильтрации в репозиторий кода, подразумевающей доступ к репозиториям кода через API.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
microsoft_sharepoint: PT-CR-2111: Sharepoint_Critical_Data_Manipulation: Выполнено действие с критически важным файлом
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных, в частности передачу данных на сайты для хранения текстов, такие как |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте сетевой трафик на наличие в нем попыток эксфильтрации данных с использованием сайтов-хранилищ текстов, то есть POST-запросов к таким сайтам. |
---|
Меры противодействия
ID | M1021 | Название | Ограничения для веб-контента | Описание | Для реализации политики внешних сетевых коммуникаций, предотвращающей использование несанкционированных внешних сервисов, можно использовать веб-прокси. |
---|