T1567.004: Эксфильтрация с помощью webhook

Злоумышленники могут использовать для эксфильтрации данных конечную точку webhook, а не основной канал взаимодействия с командным сервером. Webhook — это простой механизм, который позволяет серверу передавать данные клиенту через HTTP или HTTPS без необходимости постоянного опроса клиента. Многие общедоступные и коммерческие сервисы, такие как Discord, Slack иwebhook.site, поддерживают создание конечных точек webhook, с которыми могут взаимодействовать другие сервисы, такие как GitHub, Jira или Trello. Когда в связанных с конечной точкой webhook сервисах происходят изменения (например, обновление репозитория или изменение билета), они автоматически отправляют на нее данные для использования приложением-потребителем.

Злоумышленники могут связать подконтрольную им среду с SaaS-сервисом, принадлежащим жертве, чтобы наладить регулярную автоматизированную эксфильтрацию электронных писем, сообщений чатов и других данных. Либо, как вариант, вместо связывания конечной точки webhook с сервисом злоумышленник может вручную отправлять собираемые данные непосредственно на URL-адрес с целью их эксфильтрации.

Доступ к конечным точкам webhook нередко осуществляется через HTTPS, что добавляет дополнительный уровень защиты для злоумышленников. Эксфильтрация с помощью webhook может быть неотличима от обычного сетевого трафика, если конечная точка webhook указывает на популярное приложение SaaS или сервис для совместной работы.

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Monitor and analyze traffic patterns and packet inspection associated to protocol(s) that do not follow the expected protocol standards and traffic flows (e.g., extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g., monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)).

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Review logs for SaaS services, including Office 365 and Google Workspace, to detect the configuration of new webhooks.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Monitor network data for uncommon data flows. Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Monitor for files being accessed to exfiltrate data to a webhook as a malicious command and control channel.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may exfiltrate data to a webhook as a malicious command and control channel. Additionally, monitor commands that may create new webhook configurations in SaaS services - for example, gh webhook forward in Github or mgc subscriptions create in Office 365.

Меры противодействия

IDM1057НазваниеПредотвращение потери данныхОписание

Data loss prevention can be detect and block sensitive data being uploaded to web services via web browsers.