T1567.004: Эксфильтрация с помощью webhook

Злоумышленники могут использовать для эксфильтрации данных конечную точку webhook, а не основной канал взаимодействия с командным сервером. Webhook — это простой механизм, который позволяет серверу передавать данные клиенту через HTTP или HTTPS без необходимости постоянного опроса клиента. Многие общедоступные и коммерческие сервисы, такие как Discord, Slack иwebhook.site, поддерживают создание конечных точек webhook, с которыми могут взаимодействовать другие сервисы, такие как GitHub, Jira или Trello. Когда в связанных с конечной точкой webhook сервисах происходят изменения (например, обновление репозитория или изменение билета), они автоматически отправляют на нее данные для использования приложением-потребителем.

Злоумышленники могут связать подконтрольную им среду с SaaS-сервисом, принадлежащим жертве, чтобы наладить регулярную автоматизированную эксфильтрацию электронных писем, сообщений чатов и других данных. Либо, как вариант, вместо связывания конечной точки webhook с сервисом злоумышленник может вручную отправлять собираемые данные непосредственно на URL-адрес с целью их эксфильтрации.

Доступ к конечным точкам webhook нередко осуществляется через HTTPS, что добавляет дополнительный уровень защиты для злоумышленников. Эксфильтрация с помощью webhook может быть неотличима от обычного сетевого трафика, если конечная точка webhook указывает на популярное приложение SaaS или сервис для совместной работы.

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Просматривайте журналы сервисов SaaS (software as a service), в том числе Microsoft 365 и Google Workspace, чтобы обнаружить настройку новых webhook.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для эксфильтрации данных с помощью механизма webhook, на основе которого происходит взаимодействие с командным сервером злоумышленника. Также отслеживайте команды, которые могут создавать новые конфигурации webhook в решениях SaaS (software as a service), например gh webhook forward в GitHub или mgc subscriptions create в Microsoft 365.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки доступа к файлам для эксфильтрации данных с помощью механизма webhook, на основе которого происходит взаимодействие с командным сервером злоумышленника.

Меры противодействия

IDM1057НазваниеПредотвращение потери данныхОписание

Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, загружаемые в веб-сервисы через браузеры.