Links zu allen Teilen:Teil 1. Erstzugriff erhalten (Erstzugriff)Teil 2. AusführungTeil 3. Befestigung (Persistenz)Teil 4. Eskalation von BerechtigungenTeil 5. VerteidigungshinterziehungTeil 6. Abrufen von Anmeldeinformationen (Zugriff auf Anmeldeinformationen)Teil 7. EntdeckungTeil 8. Seitliche BewegungTeil 9. Datenerfassung (Erfassung)Teil 10 ExfiltrationTeil 11. Befehl und KontrolleZu den Techniken zum Sammeln von Daten in einer gefährdeten Umgebung gehören Methoden zum Identifizieren, Lokalisieren und direkten Sammeln gezielter Informationen (z. B. vertrauliche Dateien), um sie für die weitere Exfiltration vorzubereiten. Die Beschreibung von Informationssammelmethoden umfasst auch die Beschreibung von Informationsspeicherplätzen in Systemen oder Netzwerken, in denen Gegner sie suchen und sammeln können.
Indikatoren für die Implementierung der meisten in ATT & CK vorgestellten Datenerfassungstechniken sind Prozesse, die APIs, WMI, PowerShell, Cmd oder Bash verwenden, um Zielinformationen von Eingabe- / Ausgabegeräten zu erfassen oder Dateien zum mehrmaligen Lesen zu öffnen und die empfangenen Daten dann an einen bestimmten Ort im Dateisystem oder Netzwerk zu kopieren . Informationen während der Datenerfassung können verschlüsselt und zu Archivdateien kombiniert werden.
Identifizierung und Blockierung potenziell gefährlicher und schädlicher Software mithilfe von Tools zum Organisieren von Whitelists von Anwendungen wie AppLocker- und Sofware-Beschränkungsrichtlinien unter Windows, Verschlüsselung und Speicherung vertraulicher Informationen außerhalb lokaler Systeme. Die Einschränkung von Rechten wird als allgemeine Empfehlung zum Schutz vor Datenerfassung angeboten. Benutzerzugriff auf Netzwerkverzeichnisse und Unternehmensinformationsspeicher, Anwendung einer Kennwortrichtlinie und Zwei-Faktor-Authentifizierung in einer geschützten Umgebung.
Der Autor ist nicht verantwortlich für die möglichen Konsequenzen der Anwendung der im Artikel aufgeführten Informationen und entschuldigt sich auch für mögliche Ungenauigkeiten in einigen Formulierungen und Begriffen. Die veröffentlichten Informationen sind eine kostenlose Nacherzählung des Inhalts von MITRE ATT & CK .System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Ein Gegner kann die Peripheriegeräte eines Computers (z. B. eines Mikrofons oder einer Webcam) oder Anwendungen (z. B. Sprach- und Videoanrufdienste) verwenden, um Audioaufnahmen aufzunehmen und vertrauliche Gespräche weiter anzuhören. Schädliche Software oder Skripte können verwendet werden, um mit Peripheriegeräten über die vom Betriebssystem oder der Anwendung bereitgestellten API-Funktionen zu interagieren. Gesammelte Audiodateien können mit anschließender Exfiltration auf einer lokalen Disc aufgezeichnet werden.
Sicherheitstipps: Ein direkter Widerstand gegen die oben genannte Technik kann schwierig sein, da eine detaillierte Kontrolle über die Verwendung der API erforderlich ist. Das Erkennen böswilliger Aktivitäten kann aufgrund der Vielzahl der API-Funktionen ebenfalls schwierig sein.
Abhängig vom Zweck des angegriffenen Systems können Daten zur Verwendung der API völlig nutzlos sein oder im Gegenteil Inhalte bereitstellen, um andere böswillige Aktivitäten im System zu erkennen. Ein Indikator für feindliche Aktivitäten kann ein unbekannter oder ungewöhnlicher Prozess des Zugriffs auf die API sein, der Geräten oder Software zugeordnet ist, die mit einem Mikrofon, Aufnahmegeräten, Aufzeichnungsprogrammen interagieren, oder ein Prozess, der regelmäßig Dateien mit Audiodaten auf die Festplatte schreibt.
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Ein Angreifer kann mithilfe von Automatisierungstools interne Daten wie Skripte erfassen, um Informationen zu finden und zu kopieren, die bestimmte Kriterien erfüllen - Dateityp, Speicherort, Name, Zeitintervalle. Diese Funktionalität kann auch in RAS-Dienstprogramme integriert werden. Bei der Automatisierung der Datenerfassung zum Identifizieren und Verschieben von Dateien können zusätzlich Techniken zum Erkennen von Dateien und Verzeichnissen (
Datei- und Verzeichniserkennung ) und zum Remote-Kopieren von Dateien (
Remote- Dateikopie) angewendet werden.
Schutzempfehlungen: Die Verschlüsselung und Speicherung vertraulicher Informationen außerhalb des Systems ist eine Möglichkeit, der Dateisammlung entgegenzuwirken. Wenn das Eindringen jedoch lange anhält, kann der Gegner Daten auf andere Weise erkennen und darauf zugreifen. Beispielsweise kann ein im System installierter Keylogger durch Abfangen von Eingaben Kennwörter erfassen, um geschützte Dokumente zu entschlüsseln. Um zu verhindern, dass verschlüsselte Dokumente mit Brute Force offline gehackt werden, müssen Sie sichere Kennwörter verwenden.
System: Windows, Linux, MacOS
Beschreibung: Gegner können Daten aus der Windows-Zwischenablage erfassen, die während des Kopierens von Informationen durch Benutzer innerhalb oder zwischen Anwendungen darin gespeichert werden.
WindowsAnwendungen können über die Windows-API auf die Daten der Zwischenablage zugreifen.
MacOSOSX verfügt über einen
integrierten Befehl
pbpast zum Erfassen von Inhalten der Zwischenablage.
Schutzempfehlungen: Blockieren Sie die Software nicht, indem Sie das Verhalten identifizieren, das mit der Erfassung des Inhalts der Zwischenablage verbunden ist Der Zugriff auf die Zwischenablage ist eine Standardfunktion vieler Windows-Anwendungen. Wenn die Organisation beschließt, dieses Verhalten der Anwendungen zu verfolgen, sollten die Überwachungsdaten mit anderen verdächtigen oder Nichtbenutzeraktionen verglichen werden.
System: Windows, Linux, MacOS
Beschreibung: Vor der Exfiltration werden die gesammelten Daten normalerweise in einem bestimmten Verzeichnis abgelegt. Daten können in separaten Dateien gespeichert oder durch Komprimierung oder Verschlüsselung zu einer einzigen Datei kombiniert werden. Interaktive Befehls-Shells können als Tools verwendet werden. Mit Cmd- und Bash-Funktionen können Daten an einen Zwischenspeicherort kopiert werden.
System: Windows, Linux, MacOS
Rechte: Benutzer
Beschreibung: Gegner können wertvolle Informationen aus Informationsrepositorys extrahieren - Tools, mit denen Sie in der Regel Informationen speichern können, um die Zusammenarbeit oder den Datenaustausch zwischen Benutzern zu optimieren. Informationsspeicher können eine Vielzahl von Daten enthalten, mit denen Angreifer andere Ziele erreichen oder auf gezielte Informationen zugreifen können.
Das Folgende ist eine kurze Liste von Informationen, die sich in Informationsrepositorys befinden und für einen Angreifer von potenziellem Wert sind:
- Richtlinien, Verfahren und Standards;
- Schemata von physischen / logischen Netzwerken;
- Schemata der Systemarchitektur;
- Technische Systemdokumentation;
- Anmeldeinformationen zum Testen / Entwickeln;
- Arbeits- / Projektpläne;
- Ausschnitte aus dem Quellcode;
- Links zu Netzwerkverzeichnissen und anderen internen Ressourcen.
Gemeinsame Informationsspeicher:
Microsoft SharePointEs befindet sich in vielen Unternehmensnetzwerken und wird häufig zum Speichern und Austauschen einer erheblichen Menge an Dokumentation verwendet.
Atlassischer ZusammenflussWird häufig in Entwicklungsumgebungen zusammen mit Atlassian JIRA verwendet. Confluence wird normalerweise zum Speichern von entwicklungsbezogener Dokumentation verwendet.
Schutzempfehlungen: Empfohlene Maßnahmen zur Verhinderung der Datenerfassung aus Informationsspeicher:
- Entwicklung und Veröffentlichung von Richtlinien zur Definition akzeptabler Informationen, die im Informationsspeicher aufgezeichnet werden sollen;
- Implementierung von Zugriffskontrollmechanismen, die sowohl die Authentifizierung als auch die entsprechende Autorisierung umfassen;
- Gewährleistung des Grundsatzes der geringsten Privilegien;
- Regelmäßige Überprüfung der Kontoberechtigungen;
- Verhindern Sie den Zugriff auf gültige gültige Konten, mit denen Sie auf Informationsrepositorys zugreifen können.
Da Informationsrepositorys normalerweise eine relativ große Benutzerbasis haben, kann das Erkennen ihrer böswilligen Verwendung eine nicht triviale Aufgabe sein. Der Zugriff auf Informationsspeicher, die von privilegierten Benutzern (z. B. Domain, Enterprise oder Shema Admin) ausgeführt werden, sollte mindestens sorgfältig überwacht und verhindert werden, da diese Kontotypen nicht für den Zugriff auf Daten in Speichern verwendet werden sollten. Wenn es möglich ist, zu überwachen und zu alarmieren, müssen Sie Benutzer verfolgen, die eine große Anzahl von Dokumenten und Seiten abrufen und anzeigen. Dieses Verhalten kann auf den Betrieb von Software hinweisen, die Daten aus dem Speicher abruft. In Umgebungen mit hoher Reife können UBA-Systeme (User-Behavioraln Analytics) verwendet werden, um Anomalien im Benutzerverhalten zu erkennen.
Microsoft SharePoint kann so konfiguriert werden, dass der Benutzerzugriff auf bestimmte Seiten und Dokumente protokolliert wird. In Confluence Atlassian kann eine ähnliche Protokollierung über AccessLogFilter konfiguriert werden. Eine effizientere Erkennung erfordert wahrscheinlich eine zusätzliche Infrastruktur zum Speichern und Analysieren von Protokollen.
System: Windows, Linux, MacOS
Beschreibung: Vertrauliche Daten können aus lokalen Systemquellen wie einem Dateisystem oder einer Datenbank zum Zwecke der weiteren Exfiltration abgerufen werden.
Angreifer suchen häufig nach Dateien auf Computern, die sie gehackt haben. Sie können dies über die Befehlszeilenschnittstelle (cmd) tun. Es können auch Methoden zur Automatisierung des Datenerfassungsprozesses verwendet werden.
System: Windows, Linux, MacOS
Beschreibung: Sensible Daten können von Remote-Systemen erfasst werden, auf denen öffentlich zugängliche Netzwerklaufwerke (lokaler Netzwerkordner oder Dateiserver) für den Gegner verfügbar sind.
Um Zieldateien zu erkennen, kann ein Angreifer auf kompromittierten Computern nach Netzwerkressourcen suchen. Zum Sammeln von Informationen können sowohl interaktive Befehls-Shells als auch allgemeine Befehlszeilenfunktionen verwendet werden.
System: Windows, Linux, MacOS
Beschreibung: Sensible Daten können von jedem Wechselmedium (optisches Laufwerk, USB-Laufwerk usw.) erfasst werden, das an ein gefährdetes System angeschlossen ist.
Um Zieldateien zu erkennen, kann ein Angreifer auf gefährdeten Computern nach Wechselmedien suchen. Zum Sammeln von Informationen können sowohl interaktive Befehls-Shells und allgemeine Befehlszeilenfunktionen als auch Automatisierungstools für die Datenerfassung verwendet werden.
System: Windows
Beschreibung: Um vertrauliche Informationen zu sammeln, können Angreifer benutzerdefinierte elektronische Postfächer verwenden. In E-Mails enthaltene Daten können aus Outlook-Datendateien (.pst) oder Cache-Dateien (.ost) abgerufen werden. Mit Benutzeranmeldeinformationen kann ein Gegner direkt mit dem Exhange-Server interagieren und Zugriff auf eine externe E-Mail-Weboberfläche wie Outlook Web Access erhalten.
Sicherheitsempfehlungen: Die Verwendung der Verschlüsselung bietet einen zusätzlichen Schutz für vertrauliche Informationen, die per E-Mail übertragen werden. Bei Verwendung einer asymmetrischen Verschlüsselung muss der Gegner ein privates Zertifikat mit einem Verschlüsselungsschlüssel erhalten. Die Verwendung der Zwei-Faktor-Authentifizierung in öffentlichen Webmail-Systemen ist die beste Vorgehensweise, um die Möglichkeit zu minimieren, dass ein Angreifer die Anmeldeinformationen eines anderen Benutzers verwendet.
Es gibt verschiedene Möglichkeiten, wie ein Angreifer gezielte E-Mails erhalten kann, von denen jede über einen eigenen Erkennungsmechanismus verfügt. Anzeichen für böswillige Aktivitäten können sein: Zugriff auf E-Mail-Datendateien des lokalen Systems für die anschließende Exfiltration, ungewöhnliche Prozesse, die eine Verbindung zu einem E-Mail-Server im Netzwerk herstellen, sowie atypische Zugriffsmuster und Authentifizierungsversuche auf öffentlichen E-Mail-Webservern. Verfolgen Sie Prozesse und Befehlszeilenargumente, mit denen E-Mail-Datendateien erfasst werden können. RAS-Tools können direkt mit der Windows-API interagieren. Daten können auch mit verschiedenen Windows-Verwaltungstools wie WMI oder PowerShell abgerufen werden.
System: Windows, Linux, MacOS
Rechte: Administrator, System
Beschreibung: Angreifer können Benutzereingaben erfassen, um die Anmeldeinformationen vorhandener Konten abzurufen. Keylogging ist die häufigste Art der Erfassung von Benutzereingaben, einschließlich vieler verschiedener Methoden zum Abfangen von Tastenanschlägen. Es gibt jedoch auch andere Methoden zum Abrufen von Zielinformationen, z. B. das Aufrufen einer UAC-Anforderung oder das Schreiben einer Shell für den Standardanbieter für Anmeldeinformationen (Windows-Anbieter für Anmeldeinformationen). Keylogging ist die häufigste Methode, um Anmeldeinformationen zu stehlen, wenn die Verwendung von Dumping-Techniken für Anmeldeinformationen ineffizient ist und der Angreifer gezwungen ist, für einen bestimmten Zeitraum passiv zu bleiben.
Um Benutzeranmeldeinformationen zu sammeln, kann ein Angreifer auch einen Software-Keylogger auf externen Unternehmensportalen installieren, z. B. auf der VPN-Anmeldeseite. Dies ist möglich, nachdem ein Portal oder ein Dienst durch den Erhalt eines legitimen Administratorzugriffs kompromittiert wurde, der wiederum so organisiert werden kann, dass in den Phasen des Erstzugriffs und der Sicherung im System Sicherungszugriff bereitgestellt wird.
Schutzempfehlungen: Stellen Sie mithilfe von Tools wie AppLocker oder Richtlinien für Softwareeinschränkungen sicher, dass potenziell gefährliche und schädliche Software erkannt und blockiert wird. Ergreifen Sie Maßnahmen, um den Schaden zu verringern, wenn ein Angreifer Anmeldeinformationen erhält. Befolgen Sie
die Best Practices von Microsoft für die Entwicklung und Verwaltung Ihres Unternehmensnetzwerks .
Keylogger können die Registrierung ändern und Treiber installieren. Häufig verwendete API-Funktionen sind SetWindowsHook, GetKeyState, GetAsyncKeyState. Aufrufe von API-Funktionen allein können keine Indikatoren für Keylogging sein. In Verbindung mit einer Analyse von Registrierungsänderungen kann die Erkennung der Treiberinstallation und das Auftreten neuer Dateien auf der Festplatte jedoch auf böswillige Aktivitäten hinweisen. Verfolgen Sie das Erscheinungsbild von Anbietern benutzerdefinierter Anmeldeinformationen in der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential ProvidersSystem: Windows
Rechte: Administrator, System
Beschreibung: Während verschiedener MitB-Angriffsmethoden kann ein Gegner unter Ausnutzung der Browser-Sicherheitsanfälligkeit des Opfers Webinhalte mithilfe eines Schadprogramms ändern, z. B. Eingabefelder zu einer Seite hinzufügen, Benutzereingaben ändern und Informationen abfangen. Ein spezielles Beispiel ist der Fall, wenn ein Angreifer Software in den Browser einfügt, mit der Cookies, HTTP-Sitzungen und Client-SSL-Client-Zertifikate vererbt werden können und der Browser zur Authentifizierung und zum Aufrufen des Intranets verwendet wird.
Für einen Angriff sind SeDebugPrivilege-Berechtigungen und Prozesse mit hoher Integrität erforderlich (Grundlegendes zum geschützten Modus). Durch Festlegen von HTTP-Proxy, HTTP und HTTPS wird der Datenverkehr über einen Benutzerbrowser vom Browser des Angreifers umgeleitet. Gleichzeitig ändert sich der Benutzerverkehr nicht und die Proxy-Verbindung wird getrennt, sobald der Browser geschlossen wird. Dies ermöglicht dem Gegner, einschließlich der Anzeige von Webseiten als angegriffener Benutzer.
In der Regel erstellt der Browser für jede neue Registerkarte einen neuen Prozess mit separaten Berechtigungen und Zertifikaten. Mit diesen Berechtigungen kann ein Gegner zu jeder Ressource im Intranet wechseln, auf die über einen Browser mit vorhandenen Rechten wie Sharepoint oder Webmail zugegriffen werden kann. Durch das Schwenken des Browsers wird auch der Zwei-Faktor-Authentifizierungsschutz beseitigt.
Schutzempfehlungen
: Es wird empfohlen, dass der Schutzvektor darauf abzielt, Benutzerberechtigungen einzuschränken, eine Eskalation von Berechtigungen zu verhindern und die Benutzerkontensteuerung zu umgehen. Schließen Sie alle Browsersitzungen regelmäßig und wenn sie nicht mehr benötigt werden. Die MitB-Erkennung ist äußerst schwierig Der feindliche Verkehr wird als normaler Benutzerverkehr getarnt, es werden keine neuen Prozesse erstellt, es wird keine zusätzliche Software verwendet und das lokale Laufwerk des angegriffenen Hosts ist nicht betroffen. Authentifizierungsprotokolle können verwendet werden, um Benutzeranmeldungen bei bestimmten Webanwendungen zu überwachen. Das Erkennen böswilliger Aktivitäten zwischen ihnen kann jedoch schwierig sein, da Die Aktivität entspricht dem normalen Benutzerverhalten.
System: Windows, Linux, MacOS
Beschreibung: Während der Sammlung von Informationen können Gegner versuchen, Screenshots des Desktops zu machen. Die entsprechende Funktionalität kann in den nach dem Kompromiss verwendeten RAS-Tools enthalten sein.
Mac
OSX verwendet den integrierten Befehl screencapture, um Screenshots aufzunehmen.
Linux
Unter Linux gibt es einen xwd-Befehl.
Schutzempfehlungen: Als Erkennungsmethode wird empfohlen, Prozesse zu überwachen, die die API verwenden, um Screenshots zu erstellen und anschließend Dateien auf die Festplatte zu schreiben. Abhängig von der Legitimität eines solchen Verhaltens in einem bestimmten System ist jedoch höchstwahrscheinlich eine zusätzliche Korrelation der gesammelten Daten mit anderen Ereignissen im System erforderlich, um böswillige Aktivitäten zu erkennen.
System: Windows, MacOS
Beschreibung: Ein Gegner kann Computerperipheriegeräte (z. B. integrierte Kameras und Webcams) oder Anwendungen (z. B. Videoanrufdienste) verwenden, um Videos oder Bilder aufzunehmen. Bei der Videoaufnahme werden im Gegensatz zu Bildschirmaufnahmemethoden Geräte und Anwendungen zum Aufzeichnen von Videos verwendet, anstatt Bilder vom Bildschirm des Opfers aufzunehmen. Anstelle von Videodateien können Bilder in bestimmten Intervallen aufgenommen werden.
Schädliche Software oder Skripte können verwendet werden, um über die vom Betriebssystem oder der Anwendung bereitgestellte API mit Geräten zu interagieren und Videos oder Bilder aufzunehmen. Gesammelte Dateien können auf die Festplatte geschrieben und später gefiltert werden.
Für macOS sind verschiedene Schadprogramme bekannt, beispielsweise Proton und FriutFly, mit denen Videos von der Webcam eines Benutzers aufgezeichnet werden können.
Sicherheitstipps: Ein direkter Widerstand gegen die oben genannte Technik kann schwierig sein, da eine detaillierte API-Kontrolle erforderlich ist. Schutzbemühungen sollten darauf abzielen, unerwünschten oder unbekannten Code im System zu verhindern.
Identifizieren und blockieren Sie potenziell gefährliche und schädliche Software, die zum Aufzeichnen von Ton mithilfe von AppLocker- und Softwareeinschränkungsrichtlinien verwendet werden kann.
Das Erkennen böswilliger Aktivitäten kann aufgrund verschiedener APIs ebenfalls schwierig sein. Abhängig davon, wie das angegriffene System verwendet wird, können Telemetriedaten bezüglich der API nutzlos sein oder im Gegenteil Inhalte für andere böswillige Aktivitäten im System bereitstellen. Ein Indikator für feindliche Aktivitäten kann ein unbekannter oder ungewöhnlicher Prozess des Zugriffs auf die API sein, der Geräten oder Software zugeordnet ist, die mit einem Mikrofon, Aufnahmegeräten, Aufzeichnungsprogrammen interagieren, oder ein Prozess, der regelmäßig Dateien auf die Festplatte schreibt, die Audiodaten enthalten.