روابط لجميع الأجزاء:الجزء 1. الحصول على الوصول الأولي (الوصول الأولي)الجزء 2. التنفيذالجزء 3. الربط (الثبات)الجزء 4. امتياز التصعيدالجزء 5. الدفاع التهربالجزء 6. الحصول على بيانات الاعتماد (الوصول إلى بيانات الاعتماد)الجزء 7. الاكتشافالجزء 8. الحركة الجانبيةالجزء 9. جمع البيانات (جمع)الجزء 10الجزء 11. القيادة والسيطرةيصف هذا القسم من تكتيكات ATT & CK Enterprise تقنيات نقل البيانات المستخدمة من قبل مجرمي الإنترنت / البرامج الضارة لإزالة / سرقة / تسرب المعلومات المستهدفة من نظام معرض للخطر.
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، كما يعتذر عن عدم الدقة المحتملة في بعض الصياغات والمصطلحات. المعلومات المنشورة هي إعادة سرد مجانية لمحتويات MITER ATT & CK .النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن إجراء عملية تصفية البيانات التي تحتوي على معلومات سرية باستخدام أدوات معالجة النصوص والبرامج النصية بعد أو أثناء جمع المعلومات المستهدفة. جنبا إلى جنب مع وسائل أتمتة exfiltration ، ويمكن أيضا طرق التسريب من خلال قناة التحكم (C2) أو بروتوكول بديل لتطبيق لنقل البيانات عبر الشبكة.
توصيات الحماية: قم بتحديد وحظر البرامج التي يحتمل أن تكون خطرة أو ضارة باستخدام أدوات القائمة البيضاء للتطبيق مثل AppLocker أو سياسات تقييد البرامج.
النظام: ويندوز ، لينكس ، ماك
الوصف: من أجل تقليل كمية البيانات ، يمكن للخصم ضغط البيانات المستهدفة التي تم جمعها للتسلل. يتم إجراء الضغط خارج قناة الإرسال باستخدام برنامج مستخدم أو خوارزمية ضغط أو مكتبة / أداة شائعة ، مثل 7zip أو RAR أو ZIP أو zlib.
توصيات الحماية: لتجاوز IPS أو DLP ، الذي يحظر نقل الملفات من نوع معين أو يحتوي على رأس معين عبر قنوات الاتصال غير المشفرة ، يمكن للمهاجم التبديل إلى تشفير قناة exfiltration. يمكن اكتشاف برامج الضغط والملفات المضغوطة مسبقًا من خلال مراقبة عمليات وسيطات سطر الأوامر المتعلقة باستدعاء أدوات ضغط البيانات المعروفة ، لكن هذا النهج يتضمن تحليل عدد كبير من الأحداث الخاطئة.
النظام: ويندوز ، لينكس ، ماك
الوصف: قبل عملية التصفية ، يمكن تشفير البيانات المستهدفة لإخفاء المعلومات المسروقة أو التهرب من الكشف أو جعل العملية أقل وضوحًا. يتم إجراء التشفير باستخدام أداة مساعدة أو مكتبة أو خوارزمية مستخدم ويتم إجراؤه خارج قناة التحكم (C2) وبروتوكول نقل الملفات. تنسيقات الأرشيف الشائعة التي تدعم تشفير البيانات هي RAR و zip.
توصيات الحماية: يمكن الكشف عن إطلاق برنامج تشفير الملفات المعروف من خلال عمليات المراقبة وسيطات سطر الأوامر ، ولكن هذا النهج ينطوي على تحليل عدد كبير من الأحداث الخاطئة. يمكن استخدام عمليات تحميل ملف DLL crypt.32.dll من قِبل الخصم لإجراء التشفير أو فك التشفير أو التحقق من توقيعات الملفات. يمكن إجراء تحديد حقيقة نقل البيانات المشفرة عن طريق تحليل إنتروبيا حركة مرور الشبكة. إذا لم يتم تشفير القناة ، يمكن اكتشاف عمليات نقل الملفات من الأنواع المعروفة بواسطة أنظمة IDS أو DLP التي تحلل رؤوس الملفات.
النظام: ويندوز ، لينكس ، ماك
الوصف: للإخفاء من أدوات الحماية والتحذيرات المحتملة حول تجاوز الحد المسموح به للبيانات المرسلة عبر الشبكة ، يمكن للمهاجمين تقسيم الملفات المخزنة إلى أجزاء كثيرة من نفس الحجم أو الحد من حجم حزم الشبكة أسفل قيمة العتبة.
توصيات الحماية: يمكن استخدام IDS و DLP ، باستخدام تحليل حركة المرور المستند إلى التوقيع ، للكشف عن أدوات التحكم والمراقبة المحددة المعروفة فقط (C2) والبرامج الضارة وحظرها ، وبالتالي من المرجح أن يغير الخصم الأدوات المستخدمة بمرور الوقت أو تكوين بروتوكول نقل البيانات بحيث لتجنب الكشف عن طريق الحماية المعروفة له.
كتقنية للكشف ، يوصى بتحليل حركة مرور الشبكة لتدفقات البيانات غير المعتادة (على سبيل المثال ، يرسل العميل بيانات أكثر بكثير مما يتلقاها من الخادم). يمكن أن تحافظ العملية الضارة على اتصال لفترة طويلة بإرسال حزم ذات حجم ثابت أو فتح اتصال ونقل البيانات على فترات زمنية ثابتة. يجب أن يكون هذا النشاط من العمليات التي عادةً لا تستخدم الشبكة مشبوهة. يمكن أن يشير عدم تناسق رقم المنفذ المستخدم في نقل البيانات ورقم المنفذ المعينين بشكل افتراضي في بروتوكول الشبكة إلى نشاط ضار.
النظام: ويندوز ، لينكس ، ماك
الوصف: يتم إجراء تصفية البيانات ، كقاعدة عامة ، وفقًا لبروتوكول بديل ، يختلف عن البروتوكول الذي يستخدمه الخصم لتنظيم قناة تحكم (C2). تشمل البروتوكولات البديلة FTP و SMTP و HTTP / S و DNS وبروتوكولات الشبكة الأخرى ، بالإضافة إلى خدمات الويب الخارجية مثل التخزين السحابي.
توصيات
الحماية: اتبع التوصيات الخاصة بتكوين جدران الحماية ، وتقييد دخول وخروج حركة المرور من الشبكة إلى المنافذ المسموح بها فقط. على سبيل المثال ، إذا لم تستخدم خدمة FTP لإرسال المعلومات خارج الشبكة ، فعليك حظر المنافذ المرتبطة ببروتوكول FTP حول محيط الشبكة. لتقليل إمكانية تنظيم قناة تحكم وإخفاء ، استخدم خوادم بروكسي وخوادم مخصصة لخدمات مثل DNS ، والسماح للأنظمة بالاتصال فقط من خلال المنافذ والبروتوكولات المناسبة.
لاكتشاف ومنع الطرق المعروفة لتنظيم قناة التحكم وإخراج البيانات ، استخدم أنظمة IDS / IPS باستخدام تحليل حركة المرور المستند إلى التوقيع. ومع ذلك ، من المحتمل أن يغير المهاجمون بروتوكول التحكم والتسلل بمرور الوقت لتجنب الكشف عن طريق أدوات الأمان.
كتقنية للكشف ، يوصى أيضًا بتحليل حركة مرور الشبكة للحصول على تدفقات بيانات غير عادية (على سبيل المثال ، يرسل العميل بيانات أكثر بكثير مما يتلقاها من الخادم). يمكن أن يشير عدم الاتساق بين رقم المنفذ المستخدم ورقم المنفذ المعين في بروتوكول الشبكة الافتراضية أيضًا إلى نشاط ضار.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن إجراء عملية إخراج البيانات وفقًا لنفس البروتوكول الذي يستخدمه المهاجم كقناة تحكم (C2).
توصيات الحماية: استخدم أنظمة IDS / IPS لتنظيم تحليل توقيع حركة المرور لتحديد الوسائل المعروفة لتنظيم قناة التحكم والتسلل. تحليل حركة المرور لتدفقات البيانات غير عادية (على سبيل المثال ، يرسل العميل بيانات أكثر بكثير مما يتلقاها من الخادم). يمكن أن يشير عدم الاتساق بين رقم المنفذ المستخدم ورقم المنفذ المعين في بروتوكول الشبكة الافتراضية أيضًا إلى نشاط ضار.
النظام: ويندوز ، لينكس ، ماك
الوصف: يمكن أن تتم عملية إخراج البيانات في بيئة شبكة مختلفة عن البيئة التي يتم فيها تنظيم قناة التحكم (C2). إذا كانت قناة التحكم تستخدم اتصال إنترنت سلكي ، فيمكن أن يحدث التسريب من خلال اتصال لاسلكي - شبكة WiFi أو شبكة خلوية أو اتصال Bluetooth أو قناة راديو أخرى. إذا كان هناك إمكانية الوصول والقرب ، فسيستخدم الخصم وسيلة نقل بيانات بديلة ، لأن حركة المرور فيها لن يتم توجيهها عبر شبكة الشركة التي تمت مهاجمتها ، ويمكن أن يكون اتصال الشبكة آمنًا أو مفتوحًا.
توصيات الحماية: تأكد من أن أجهزة استشعار الأمن المضيفة تدعم التدقيق في جميع محولات الشبكة ، وإذا أمكن ، تمنع محولات جديدة من الاتصال. تتبع وتحليل التغييرات في إعدادات محول الشبكة المتعلقة بإضافة أو نسخ واجهات الشبكة.
النظام: ويندوز ، لينكس ، ماك
الوصف: في ظل ظروف معينة ، مثل العزل المادي لشبكة معرضة للخطر ، يمكن أن يحدث التسريب من خلال الوسائط الفعلية أو جهاز متصل بواسطة المستخدم. يمكن أن تكون هذه الوسائط محرك أقراص ثابت خارجي أو محرك أقراص USB أو هاتف محمول أو مشغل mp3 أو أي جهاز آخر قابل للإزالة لتخزين المعلومات أو معالجتها. يمكن للخصم استخدام الوسيط أو الجهاز المادي كنقطة نهاية للتسرب أو للتحولات بين الأنظمة المعزولة.
توصيات الحماية: تعطيل التشغيل التلقائي لأجهزة التخزين القابلة للإزالة. حظر أو تقييد استخدام الأجهزة القابلة للإزالة على مستوى سياسة أمان المؤسسة إذا لم تكن مطلوبة للعمليات التجارية.
كتدبير للكشف عن التسرب من خلال البيئة المادية ، يوصى بتنظيم مراقبة الوصول إلى الملفات على الوسائط القابلة للإزالة ، وكذلك مراجعة العمليات التي تبدأ عند توصيل الوسائط القابلة للإزالة.
النظام: ويندوز ، لينكس ، ماك
الوصف: لا يمكن إجراء عملية تصفية البيانات إلا في وقت معين من اليوم أو على فترات زمنية محددة. يستخدم هذا التخطيط لخلط البيانات exfiltrated مع حركة المرور العادية على الشبكة. عند استخدام التسرب المخطط ، تستخدم أيضًا طرق تسرب المعلومات الأخرى ، مثل التسرب عبر قناة التحكم (C2) وبروتوكول بديل.
توصيات الحماية: استخدام أنظمة IDS / IPS مع تحليل حركة المرور المستند إلى التوقيع. كتدبير للكشف عن النشاط الضار ، يوصى بمراقبة نماذج الوصول إلى العمليات إلى الملفات والعمليات والبرامج النصية التي تفحص نظام الملفات مع إرسال حركة مرور الشبكة لاحقًا. يجب أن تكون اتصالات الشبكة التي تحمل نفس العنوان في نفس الوقت من اليوم لعدة أيام مشبوهة.