Enlaces a todas las partes:Parte 1. Obtención del acceso inicial (acceso inicial)Parte 2. EjecuciónParte 3. Fijación (persistencia)Parte 4. Escalada de privilegiosParte 5. Evasión de defensaParte 6. Obtención de credenciales (acceso de credenciales)Parte 7. DescubrimientoParte 8. Movimiento lateralParte 9. Recolección de datos (Colección)Parte 10 ExfiltraciónParte 11. Comando y ControlEsta sección de ATT & CK Enterprise Tactics describe las técnicas de transferencia de datos utilizadas por los ciberdelincuentes / malware para eliminar / robar / filtrar información específica de un sistema comprometido.
El autor no es responsable de las posibles consecuencias de aplicar la información establecida en el artículo, y también se disculpa por posibles imprecisiones hechas en algunas formulaciones y términos. La información publicada es un recuento gratuito de los contenidos de MITER ATT & CK .Sistema: Windows, Linux, macOS
Descripción: La extracción de datos que contienen información confidencial se puede realizar utilizando herramientas de procesamiento de información automatizadas y secuencias de comandos después o durante la recopilación de información objetivo. Junto con los medios de automatización de la exfiltración, también se pueden aplicar métodos de exfiltración a través del canal de control (C2) o un protocolo alternativo para transmitir datos a través de la red.
Recomendaciones de protección: identifique y bloquee software potencialmente peligroso y malicioso utilizando herramientas de aplicaciones de la lista blanca, como AppLocker o Políticas de restricción de software.
Sistema: Windows, Linux, macOS
Descripción: para reducir la cantidad de datos, el adversario puede comprimir los datos objetivo recopilados para la exfiltración. La compresión se realiza fuera del canal de transmisión utilizando un software de usuario, un algoritmo de compresión o una biblioteca / utilidad común, como 7zip, RAR, ZIP o zlib.
Recomendaciones de protección: para evitar IPS o DLP, que bloquean la transmisión de archivos de cierto tipo o que contienen un encabezado determinado a través de canales de comunicación no cifrados, un atacante puede cambiar al cifrado de un canal de exfiltración. El software de compresión y los archivos comprimidos se pueden detectar de antemano mediante la supervisión de los procesos y los argumentos de la línea de comandos relacionados con la llamada a utilidades de compresión de datos conocidas, pero este enfoque implica analizar una gran cantidad de eventos falsos.
Sistema: Windows, Linux, macOS
Descripción: antes de la filtración, los datos de destino se pueden cifrar para ocultar la información robada, escapar de la detección o hacer que el proceso sea menos notable. El cifrado se realiza utilizando una utilidad, biblioteca o algoritmo de usuario y se realiza fuera del canal de control (C2) y el protocolo de transferencia de archivos. Los formatos de archivo comunes que admiten el cifrado de datos son RAR y zip.
Recomendaciones de protección: el lanzamiento de un conocido software de cifrado de archivos puede detectarse mediante el monitoreo de procesos y argumentos de línea de comandos, pero este enfoque implica analizar una gran cantidad de eventos falsos. Los procesos que cargan Windows DLL crypt.32.dll pueden ser utilizados por un adversario para realizar cifrado, descifrado o verificar firmas de archivos. La identificación del hecho de la transmisión de datos cifrados se puede realizar analizando la entropía del tráfico de red. Si el canal no está encriptado, los sistemas IDS o DLP pueden detectar transferencias de archivos de tipos conocidos que analizan los encabezados de los archivos.
Sistema: Windows, Linux, macOS
Descripción: para ocultarse de las herramientas de protección y las posibles advertencias sobre exceder el umbral permitido de datos transmitidos a través de la red, un atacante puede dividir los archivos filtrados en muchos fragmentos del mismo tamaño o limitar el tamaño de los paquetes de red por debajo del valor umbral.
Recomendaciones de protección: IDS y DLP, mediante el análisis de tráfico basado en firmas, se pueden usar para detectar y bloquear solo herramientas de control y monitoreo específicas conocidas (C2) y programas maliciosos, por lo que el adversario probablemente cambiará las herramientas utilizadas con el tiempo o configurará el protocolo de transferencia de datos. para evitar la detección por medio de la protección que conoce.
Como técnica de detección, se recomienda analizar el tráfico de red en busca de flujos de datos inusuales (por ejemplo, el cliente envía significativamente más datos de los que recibe del servidor). Un proceso malicioso puede mantener una conexión durante un tiempo prolongado enviando paquetes de un tamaño fijo o abrir una conexión y transferir datos a intervalos fijos. Tal actividad de procesos que generalmente no usan la red debería ser sospechosa. La inconsistencia del número de puerto utilizado con la transferencia de datos y el número de puerto establecido de manera predeterminada en el protocolo de red también puede indicar actividad maliciosa.
Sistema: Windows, Linux, macOS
Descripción: La exfiltración de datos, por regla general, se realiza de acuerdo con un protocolo alternativo, diferente del protocolo utilizado por el adversario para organizar un canal de control (C2). Los protocolos alternativos incluyen FTP, SMTP, HTTP / S, DNS y otros protocolos de red, así como servicios web externos como el almacenamiento en la nube.
Recomendaciones de
protección: siga las recomendaciones para configurar firewalls, restringiendo la entrada y salida del tráfico de la red a los puertos permitidos. Por ejemplo, si no utiliza el servicio FTP para enviar información fuera de la red, bloquee los puertos asociados con el protocolo FTP alrededor del perímetro de la red. Para reducir la posibilidad de organizar un canal de control y exfiltración, use servidores proxy y servidores dedicados para servicios como DNS, y permita que los sistemas se comuniquen solo a través de los puertos y protocolos apropiados.
Para detectar y prevenir métodos conocidos de organizar un canal de control y extraer datos, use sistemas IDS / IPS utilizando análisis de tráfico basado en firmas. Sin embargo, es probable que los atacantes cambien el protocolo de control y exfiltración con el tiempo para evitar ser detectados por las herramientas de seguridad.
Como técnica de detección, también se recomienda analizar el tráfico de red en busca de flujos de datos inusuales (por ejemplo, el cliente envía significativamente más datos de los que recibe del servidor). La inconsistencia entre el número de puerto utilizado y el número de puerto establecido en el protocolo de red predeterminado también puede indicar actividad maliciosa.
Sistema: Windows, Linux, macOS
Descripción: La exfiltración de datos se puede llevar a cabo según el mismo protocolo que utiliza un atacante como canal de control (C2).
Recomendaciones de protección: Utilice los sistemas IDS / IPS para organizar un análisis de firma del tráfico para identificar medios conocidos de organizar un canal de control y exfiltración. Analice el tráfico en busca de flujos de datos inusuales (por ejemplo, el cliente envía significativamente más datos de los que recibe del servidor). La inconsistencia entre el número de puerto utilizado y el número de puerto establecido en el protocolo de red predeterminado también puede indicar actividad maliciosa.
Sistema: Windows, Linux, macOS
Descripción: La exfiltración de datos puede tener lugar en un entorno de red diferente del entorno en el que se organiza el canal de control (C2). Si el canal de control utiliza una conexión a Internet por cable, la exfiltración puede ocurrir a través de una conexión inalámbrica: WiFi, red celular, conexión Bluetooth u otro canal de radio. Si hay accesibilidad y proximidad, el adversario utilizará un medio de transmisión de datos alternativo, ya que el tráfico no se enrutará a través de la red corporativa atacada, y la conexión de red puede ser segura o abierta.
Recomendaciones de protección: asegúrese de que los sensores de seguridad del host admitan la auditoría de todos los adaptadores de red y, si es posible, evite que se conecten nuevos. Rastree y analice los cambios en la configuración del adaptador de red relacionados con la adición o replicación de interfaces de red.
Sistema: Windows, Linux, macOS
Descripción: Bajo ciertas circunstancias, como el aislamiento físico de una red comprometida, la exfiltración puede ocurrir a través de medios físicos o un dispositivo conectado por el usuario. Dichos medios pueden ser un disco duro externo, unidad USB, teléfono celular, reproductor de mp3 o cualquier otro dispositivo extraíble para almacenar o procesar información. El adversario puede utilizar el medio físico o dispositivo como punto final de la exfiltración o para transiciones entre sistemas aislados.
Recomendaciones de protección: deshabilite la ejecución automática de dispositivos de almacenamiento extraíbles. Prohibir o restringir el uso de dispositivos extraíbles a nivel de la política de seguridad de la organización si no son necesarios para las operaciones comerciales.
Como medida para detectar la exfiltración a través del entorno físico, se recomienda organizar la supervisión del acceso a los archivos en medios extraíbles, así como una auditoría de los procesos que comienzan cuando se conectan los medios extraíbles.
Sistema: Windows, Linux, macOS
Descripción: La exfiltración de datos solo se puede realizar en un momento determinado del día o en ciertos intervalos. Dicha planificación se utiliza para mezclar datos extraídos con tráfico normal en la red. Cuando se utiliza la exfiltración planificada, también se utilizan otros métodos de fuga de información, como la exfiltración a través de un canal de control (C2) y un protocolo alternativo.
Recomendaciones de protección: uso de sistemas IDS / IPS con análisis de tráfico basado en firmas. Como medida para detectar actividad maliciosa, se recomienda monitorear los modelos de acceso a procesos para archivos y procesos y scripts que escanean el sistema de archivos y luego envían tráfico de red. Las conexiones de red a la misma dirección que se producen a la misma hora del día durante varios días deben ser sospechosas.