T1567.003: Эксфильтрация на сайт для хранения текста

Злоумышленники могут использовать для эксфильтрации данных сайт для хранения текста, а не основной канал взаимодействия с командным сервером. Сайты для хранения текста, подобные pastebin[.]com, регулярно используются разработчиками для обмена кодом и другой информацией.

На таких сайтах часто размещается вредоносный код для коммуникаций с командным севером (см. Размещение средств). Злоумышленники также могут использовать их для эксфильтрации собранных данных. Платные функции и поддержка шифрования могут помочь злоумышленникам более безопасно скрывать и хранить данные.

Примечание. Техника отличается от эксфильтрации в репозиторий кода, подразумевающей доступ к репозиториям кода через API.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

microsoft_sharepoint: PT-CR-2111: Sharepoint_Critical_Data_Manipulation: Выполнено действие с критически важным файлом

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных, в частности передачу данных на сайты для хранения текстов, такие как Pastebin[.]com, Paste[.]ee и Pastebin[.]pl.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте сетевой трафик на наличие в нем попыток эксфильтрации данных с использованием сайтов-хранилищ текстов, то есть POST-запросов к таким сайтам.

Меры противодействия

IDM1021НазваниеОграничения для веб-контентаОписание

Для реализации политики внешних сетевых коммуникаций, предотвращающей использование несанкционированных внешних сервисов, можно использовать веб-прокси.