T1567.004: Эксфильтрация с помощью webhook
Злоумышленники могут использовать для эксфильтрации данных конечную точку webhook, а не основной канал взаимодействия с командным сервером. Webhook — это простой механизм, который позволяет серверу передавать данные клиенту через HTTP или HTTPS без необходимости постоянного опроса клиента. Многие общедоступные и коммерческие сервисы, такие как Discord, Slack иwebhook.site
, поддерживают создание конечных точек webhook, с которыми могут взаимодействовать другие сервисы, такие как GitHub, Jira или Trello. Когда в связанных с конечной точкой webhook сервисах происходят изменения (например, обновление репозитория или изменение билета), они автоматически отправляют на нее данные для использования приложением-потребителем.
Злоумышленники могут связать подконтрольную им среду с SaaS-сервисом, принадлежащим жертве, чтобы наладить регулярную автоматизированную эксфильтрацию электронных писем, сообщений чатов и других данных. Либо, как вариант, вместо связывания конечной точки webhook с сервисом злоумышленник может вручную отправлять собираемые данные непосредственно на URL-адрес с целью их эксфильтрации.
Доступ к конечным точкам webhook нередко осуществляется через HTTPS, что добавляет дополнительный уровень защиты для злоумышленников. Эксфильтрация с помощью webhook может быть неотличима от обычного сетевого трафика, если конечная точка webhook указывает на популярное приложение SaaS или сервис для совместной работы.
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Просматривайте журналы сервисов SaaS (software as a service), в том числе Microsoft 365 и Google Workspace, чтобы обнаружить настройку новых webhook. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для эксфильтрации данных с помощью механизма webhook, на основе которого происходит взаимодействие с командным сервером злоумышленника. Также отслеживайте команды, которые могут создавать новые конфигурации webhook в решениях SaaS (software as a service), например |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки доступа к файлам для эксфильтрации данных с помощью механизма webhook, на основе которого происходит взаимодействие с командным сервером злоумышленника. |
---|
Меры противодействия
ID | M1057 | Название | Предотвращение потери данных | Описание | Предотвращение потери данных может обнаруживать и блокировать конфиденциальные данные, загружаемые в веб-сервисы через браузеры. |
---|