Links zu allen Teilen:Teil 1. Erstzugriff erhalten (Erstzugriff)Teil 2. AusführungTeil 3. Befestigung (Persistenz)Teil 4. Eskalation von BerechtigungenTeil 5. VerteidigungshinterziehungTeil 6. Abrufen von Anmeldeinformationen (Zugriff auf Anmeldeinformationen)Teil 7. EntdeckungTeil 8. Seitliche BewegungTeil 9. Datenerfassung (Erfassung)Teil 10 ExfiltrationTeil 11. Befehl und KontrolleIn diesem Abschnitt von ATT & CK Enterprise Tactics werden die Datenübertragungstechniken beschrieben, die von Cyberkriminellen / Malware verwendet werden, um gezielte Informationen aus einem kompromittierten System zu entfernen / zu stehlen / zu verlieren.
Der Autor ist nicht verantwortlich für die möglichen Konsequenzen der Anwendung der im Artikel aufgeführten Informationen und entschuldigt sich auch für mögliche Ungenauigkeiten in einigen Formulierungen und Begriffen. Die veröffentlichten Informationen sind eine kostenlose Nacherzählung des Inhalts von MITRE ATT & CK .System: Windows, Linux, MacOS
Beschreibung: Die Exfiltration von Daten, die vertrauliche Informationen enthalten, kann mithilfe automatisierter Tools und Skripte zur Informationsverarbeitung nach oder während der Erfassung von Zielinformationen durchgeführt werden. Zusammen mit den Mitteln zur Automatisierung der Exfiltration können auch Methoden zur Exfiltration durch den Steuerkanal (C2) oder ein alternatives Protokoll angewendet werden, um Daten über das Netzwerk zu übertragen.
Schutzempfehlungen: Identifizieren und blockieren Sie potenziell gefährliche und schädliche Software mithilfe von Whitelist-Tools für Anwendungen wie AppLocker oder Software Restriction Policies.
System: Windows, Linux, MacOS
Beschreibung: Um die Datenmenge zu reduzieren, kann der Gegner die zur Exfiltration gesammelten Zieldaten komprimieren. Die Komprimierung erfolgt außerhalb des Übertragungskanals mithilfe von Benutzersoftware, einem Komprimierungsalgorithmus oder einer allgemeinen Bibliothek / einem allgemeinen Dienstprogramm wie 7zip, RAR, ZIP oder zlib.
Schutzempfehlungen: Um IPS oder DLP zu umgehen, die die Übertragung von Dateien eines bestimmten Typs blockieren oder einen bestimmten Header über unverschlüsselte Kommunikationskanäle enthalten, kann ein Angreifer auf die Verschlüsselung eines Exfiltrationskanals umschalten. Komprimierungssoftware und komprimierte Dateien können im Voraus durch Überwachen von Prozessen und Befehlszeilenargumenten im Zusammenhang mit dem Aufrufen bekannter Datenkomprimierungsdienstprogramme erkannt werden. Bei diesem Ansatz wird jedoch eine große Anzahl falscher Ereignisse analysiert.
System: Windows, Linux, MacOS
Beschreibung: Vor der Exfiltration können die Zieldaten verschlüsselt werden, um die gestohlenen Informationen zu verbergen, sich der Erkennung zu entziehen oder den Prozess weniger auffällig zu machen. Die Verschlüsselung wird mithilfe eines Dienstprogramms, einer Bibliothek oder eines Benutzeralgorithmus durchgeführt und außerhalb des Steuerkanals (C2) und des Dateiübertragungsprotokolls durchgeführt. Übliche Archivformate, die die Datenverschlüsselung unterstützen, sind RAR und zip.
Schutzempfehlungen: Der Start bekannter Dateiverschlüsselungssoftware kann durch Überwachen von Prozessen und Befehlszeilenargumenten erkannt werden. Bei diesem Ansatz wird jedoch eine große Anzahl falscher Ereignisse analysiert. Prozesse, die die Windows DLL crypt.32.dll laden, können von einem Gegner verwendet werden, um Verschlüsselung, Entschlüsselung oder Überprüfung von Dateisignaturen durchzuführen. Die Identifizierung der Tatsache der verschlüsselten Datenübertragung kann durch Analyse der Entropie des Netzwerkverkehrs erfolgen. Wenn der Kanal nicht verschlüsselt ist, können Dateiübertragungen bekannter Typen von IDS- oder DLP-Systemen erkannt werden, die Dateikopfzeilen analysieren.
System: Windows, Linux, MacOS
Beschreibung: Um sich vor Schutzwerkzeugen und möglichen Warnungen vor dem Überschreiten des zulässigen Schwellenwerts für über das Netzwerk übertragene Daten zu verstecken, kann ein Angreifer exfiltrierte Dateien in viele Fragmente derselben Größe aufteilen oder die Größe von Netzwerkpaketen unter den Schwellenwert begrenzen.
Schutzempfehlungen: IDS und DLP können mithilfe einer signaturbasierten Verkehrsanalyse verwendet werden, um nur bekannte spezifische Steuerungs- und Überwachungstools (C2) und Schadprogramme zu erkennen und zu blockieren. Daher wird der Gegner höchstwahrscheinlich die im Laufe der Zeit verwendeten Tools ändern oder das Datenübertragungsprotokoll so konfigurieren eine Entdeckung durch ihm bekannten Schutz zu vermeiden.
Als Erkennungstechnik wird empfohlen, den Netzwerkverkehr auf ungewöhnliche Datenströme zu analysieren (z. B. sendet der Client erheblich mehr Daten, als er vom Server empfängt). Ein böswilliger Prozess kann eine Verbindung für eine lange Zeit aufrechterhalten und nacheinander Pakete fester Größe senden oder eine Verbindung öffnen und Daten in festen Intervallen übertragen. Eine solche Aktivität von Prozessen, die normalerweise das Netzwerk nicht verwenden, sollte verdächtig sein. Eine Inkonsistenz der bei der Datenübertragung verwendeten Portnummer und der im Netzwerkprotokoll standardmäßig festgelegten Portnummer kann ebenfalls auf böswillige Aktivitäten hinweisen.
System: Windows, Linux, MacOS
Beschreibung: Die Datenexfiltration wird in der Regel nach einem alternativen Protokoll durchgeführt, das sich von dem Protokoll unterscheidet, das der Gegner zum Organisieren eines Steuerkanals (C2) verwendet. Alternative Protokolle umfassen FTP, SMTP, HTTP / S, DNS und andere Netzwerkprotokolle sowie externe Webdienste wie Cloud-Speicher.
Schutzempfehlungen: Befolgen Sie die Empfehlungen zum Konfigurieren von Firewalls und beschränken Sie den Ein- und Ausgang von Datenverkehr aus dem Netzwerk auf nur zulässige Ports. Wenn Sie beispielsweise den FTP-Dienst nicht zum Senden von Informationen außerhalb des Netzwerks verwenden, blockieren Sie die mit dem FTP-Protokoll verknüpften Ports um den Netzwerkumfang herum. Verwenden Sie Proxyserver und dedizierte Server für Dienste wie DNS, um die Möglichkeit der Organisation eines Steuerkanals und der Exfiltration zu verringern, und lassen Sie Systeme nur über die entsprechenden Ports und Protokolle kommunizieren.
Verwenden Sie IDS / IPS-Systeme mithilfe einer signaturbasierten Verkehrsanalyse, um bekannte Methoden zum Organisieren eines Steuerkanals und zum Exfiltrieren von Daten zu erkennen und zu verhindern. Es ist jedoch wahrscheinlich, dass Angreifer das Kontroll- und Exfiltrationsprotokoll im Laufe der Zeit ändern, um eine Erkennung durch Sicherheitstools zu vermeiden.
Als Erkennungstechnik wird außerdem empfohlen, den Netzwerkverkehr auf ungewöhnliche Datenströme zu analysieren (z. B. sendet der Client erheblich mehr Daten, als er vom Server empfängt). Inkonsistenzen zwischen der verwendeten Portnummer und der im Standardnetzwerkprotokoll festgelegten Portnummer können ebenfalls auf böswillige Aktivitäten hinweisen.
System: Windows, Linux, MacOS
Beschreibung: Die Datenexfiltration kann nach demselben Protokoll durchgeführt werden, das von einem Angreifer als Kontrollkanal (C2) verwendet wird.
Schutzempfehlungen: Verwenden Sie IDS / IPS-Systeme, um eine Signaturanalyse des Datenverkehrs zu organisieren und bekannte Mittel zum Organisieren eines Kontrollkanals und zur Exfiltration zu identifizieren. Analysieren Sie den Datenverkehr auf ungewöhnliche Datenflüsse (z. B. sendet der Client erheblich mehr Daten, als er vom Server empfängt). Inkonsistenzen zwischen der verwendeten Portnummer und der im Standardnetzwerkprotokoll festgelegten Portnummer können ebenfalls auf böswillige Aktivitäten hinweisen.
System: Windows, Linux, MacOS
Beschreibung: Die Datenexfiltration kann in einer Netzwerkumgebung erfolgen, die sich von der Umgebung unterscheidet, in der der Steuerkanal organisiert ist (C2). Wenn der Steuerkanal eine kabelgebundene Internetverbindung verwendet, kann die Exfiltration über eine kabellose Verbindung erfolgen - WLAN, Mobilfunknetz, Bluetooth-Verbindung oder einen anderen Funkkanal. Wenn Zugänglichkeit und Nähe vorhanden sind, verwendet der Gegner ein alternatives Datenübertragungsmedium, da der darin enthaltene Datenverkehr nicht über das angegriffene Unternehmensnetzwerk geleitet wird und die Netzwerkverbindung entweder sicher oder offen sein kann.
Schutzempfehlungen: Stellen Sie sicher, dass Host-Sicherheitssensoren die Überwachung aller Netzwerkadapter unterstützen, und verhindern Sie nach Möglichkeit, dass neue verbunden werden. Verfolgen und analysieren Sie Änderungen an den Netzwerkadaptereinstellungen im Zusammenhang mit dem Hinzufügen oder Replizieren von Netzwerkschnittstellen.
System: Windows, Linux, MacOS
Beschreibung: Unter bestimmten Umständen, z. B. bei der physischen Isolation eines gefährdeten Netzwerks, kann die Exfiltration über physische Medien oder ein vom Benutzer verbundenes Gerät erfolgen. Solche Medien können eine externe Festplatte, ein USB-Laufwerk, ein Mobiltelefon, ein MP3-Player oder ein anderes Wechselmedium zum Speichern oder Verarbeiten von Informationen sein. Das physikalische Medium oder Gerät kann vom Gegner als Endpunkt der Exfiltration oder für Übergänge zwischen isolierten Systemen verwendet werden.
Schutzempfehlungen
: Deaktivieren Sie die automatische Ausführung von Wechseldatenträgern. Verbieten oder beschränken Sie die Verwendung von Wechselmedien auf der Ebene der Sicherheitsrichtlinien des Unternehmens, wenn diese nicht für den Geschäftsbetrieb erforderlich sind.
Als Maßnahme zur Erkennung der Exfiltration durch die physische Umgebung wird empfohlen, die Überwachung des Zugriffs auf Dateien auf Wechselmedien sowie eine Prüfung der Prozesse zu organisieren, die beim Anschließen von Wechselmedien beginnen.
System: Windows, Linux, MacOS
Beschreibung: Die Datenexfiltration kann nur zu einer bestimmten Tageszeit oder in bestimmten Intervallen durchgeführt werden. Eine solche Planung wird verwendet, um exfiltrierte Daten mit normalem Verkehr im Netzwerk zu mischen. Bei Verwendung der geplanten Exfiltration werden auch andere Methoden zur Informationsleckage verwendet, z. B. die Exfiltration über einen Steuerkanal (C2) und ein alternatives Protokoll.
Schutzempfehlungen: Verwendung von IDS / IPS-Systemen mit signaturbasierter Verkehrsanalyse. Um böswillige Aktivitäten zu erkennen, wird empfohlen, Prozesszugriffsmodelle auf Dateien sowie Prozesse und Skripts zu überwachen, die das Dateisystem scannen und dann den Netzwerkverkehr senden. Netzwerkverbindungen zu derselben Adresse, die mehrere Tage lang zur selben Tageszeit bestehen, sollten verdächtig sein.