Liens vers toutes les parties:Partie 1. Obtention de l'accès initial (accès initial)Partie 2. ExécutionPartie 3. Fixation (persistance)Partie 4. Escalade de privilègesPartie 5. Évasion de la défensePartie 6. Obtention des informations d'identification (accès aux informations d'identification)Partie 7. DécouvertePartie 8. Mouvement latéralPartie 9. Collecte de données (collecte)Partie 10 ExfiltrationPartie 11. Commandement et contrôleLes techniques de collecte de données dans un environnement compromis comprennent des méthodes d'identification, de localisation et de collecte directe d'informations ciblées (par exemple, des fichiers confidentiels) afin de les préparer à une exfiltration ultérieure. La description des méthodes de collecte d'informations couvre également la description des lieux de stockage d'informations dans les systèmes ou réseaux dans lesquels les opposants peuvent les rechercher et les collecter.
Les indicateurs de la mise en œuvre de la plupart des techniques de collecte de données présentées dans ATT & CK sont des processus qui utilisent des API, WMI, PowerShell, Cmd ou Bash pour capturer des informations cibles à partir de périphériques d'entrée / sortie ou ouvrir des fichiers pour les lire plusieurs fois, puis copier les données reçues à un endroit spécifique du système de fichiers ou du réseau . Les informations lors de la collecte des données peuvent être cryptées et combinées dans des fichiers d'archives.
Identification et blocage des logiciels potentiellement dangereux et malveillants à l'aide d'outils pour l'organisation de listes blanches d'applications telles que les politiques de restriction AppLocker et Sofware sur Windows, le chiffrement et le stockage des informations sensibles en dehors des systèmes locaux, la restriction des droits est proposée sous forme de recommandations générales sur la protection contre la collecte de données. accès des utilisateurs aux répertoires du réseau et aux stockages d'informations d'entreprise; application d'une politique de mot de passe et authentification à deux facteurs dans un environnement protégé.
L'auteur n'est pas responsable des conséquences possibles de l'application des informations énoncées dans l'article, et s'excuse également pour d'éventuelles inexactitudes faites dans certaines formulations et termes. Les informations publiées sont une nouvelle version gratuite du contenu de MITRE ATT & CK .Système: Windows, Linux, macOS
Droits: utilisateur
Description: un adversaire peut utiliser des périphériques informatiques (par exemple, un microphone ou une webcam) ou des applications (par exemple, des services d'appel vocal et vidéo) pour capturer des enregistrements audio afin d'écouter davantage les conversations confidentielles. Des logiciels ou scripts malveillants peuvent être utilisés pour interagir avec des périphériques via les fonctions API fournies par le système d'exploitation ou l'application. Les fichiers audio collectés peuvent être enregistrés sur un disque local avec une exfiltration ultérieure.
Conseils de sécurité: L'opposition directe à la technique ci-dessus peut être difficile car elle nécessite un contrôle détaillé de l'utilisation de l'API. La détection d'activités malveillantes peut également être difficile en raison de la variété des fonctions de l'API.
Selon la finalité du système attaqué, les données sur l'utilisation de l'API peuvent être complètement inutiles ou, au contraire, fournir du contenu pour détecter d'autres activités malveillantes se produisant dans le système. Un indicateur d'activité ennemie peut être un processus inconnu ou inhabituel d'accès à l'API associé à des appareils ou des logiciels qui interagissent avec un microphone, des appareils d'enregistrement, des programmes d'enregistrement ou un processus qui écrit périodiquement des fichiers contenant des données audio sur le disque.
Système: Windows, Linux, macOS
Droits: utilisateur
Description: un attaquant peut utiliser des outils d'automatisation pour collecter des données internes, telles que des scripts, pour rechercher et copier des informations répondant à certains critères - type de fichier, emplacement, nom, intervalles de temps. Cette fonctionnalité peut également être intégrée dans les utilitaires d'accès à distance. Dans le processus d'automatisation de la collecte de données dans le but d'identifier et de déplacer des fichiers, des techniques de détection de fichiers et de répertoires (
File and Directory Discovery ) et de copie de fichiers à
distance (
Remote File Copy ) peuvent également être appliquées.
Recommandations de protection: le chiffrement et le stockage d'informations confidentielles en dehors du système est un moyen de contrecarrer la collecte de fichiers, mais si l'intrusion dure longtemps, l'adversaire peut détecter et accéder aux données par d'autres moyens. Par exemple, un enregistreur de frappe installé dans le système, en interceptant les entrées, est capable de collecter des mots de passe pour décrypter les documents protégés. Pour empêcher le piratage de documents chiffrés hors ligne par la force brute, vous devez utiliser des mots de passe forts.
Système: Windows, Linux, macOS
Description: les opposants peuvent collecter des données à partir du presse-papiers de Windows, stockées dans celui-ci lors de la copie d'informations par les utilisateurs à l'intérieur ou entre les applications.
WindowsLes applications peuvent accéder aux données du presse-papiers à l'aide de l'API Windows.
MacOSOSX a une commande
pbpast intégrée pour capturer le contenu du presse-papiers.
Recommandations de protection: ne bloquez pas le logiciel en fonction de l'identification du comportement associé à la capture du contenu du presse-papiers, comme l'accès au presse-papiers est une fonctionnalité standard de nombreuses applications Windows. Si l'organisation décide de suivre ce comportement des applications, les données de surveillance doivent être comparées avec d'autres actions suspectes ou non utilisateur.
Système: Windows, Linux, macOS
Description: Avant l'exfiltration, les données collectées sont généralement placées dans un répertoire spécifique. Les données peuvent être stockées dans des fichiers séparés ou combinées en un seul fichier à l'aide de la compression ou du chiffrement. Les shells de commande interactifs peuvent être utilisés comme outils, les fonctionnalités cmd et bash peuvent être utilisées pour copier des données vers un emplacement intermédiaire.
Système: Windows, Linux, macOS
Droits: utilisateur
Description: les opposants peuvent extraire des informations précieuses des référentiels d'informations - des outils qui vous permettent de stocker des informations, en règle générale, pour optimiser la collaboration ou l'échange de données entre les utilisateurs. Les stockages d'informations peuvent contenir une vaste gamme de données qui peuvent aider les attaquants à atteindre d'autres objectifs ou fournir un accès à des informations ciblées.
Ce qui suit est une courte liste d'informations qui peuvent être trouvées dans les référentiels d'informations et de valeur potentielle pour un attaquant:
- Politiques, procédures et normes;
- Schémas de réseaux physiques / logiques;
- Schémas d'architecture système;
- Documentation du système technique;
- Identifiants pour les tests / développement;
- Plans de travail / projet;
- Extraits de code source;
- Liens vers les répertoires réseau et autres ressources internes.
Référentiels communs d'informations:
Microsoft SharePointIl est situé dans de nombreux réseaux d'entreprise et est souvent utilisé pour stocker et échanger une quantité importante de documentation.
Confluence atlassienneSouvent trouvé dans les environnements de développement avec Atlassian JIRA. Confluence est généralement utilisé pour stocker la documentation liée au développement.
Recommandations de protection: mesures
recommandées pour empêcher la collecte de données à partir de référentiels d'informations:
- Élaboration et publication de politiques définissant les informations acceptables à enregistrer dans la banque d'informations;
- Mise en place de mécanismes de contrôle d'accès, qui incluent à la fois l'authentification et l'autorisation correspondante;
- Assurer le principe du moindre privilège;
- Examen périodique des privilèges du compte;
- Empêchez l'accès à des comptes valides valides pouvant être utilisés pour accéder aux référentiels d'informations.
Étant donné que les référentiels d'informations ont généralement une base d'utilisateurs assez importante, la détection de leur utilisation malveillante peut être une tâche non triviale. Au minimum, l'accès aux stockages d'informations effectués par des utilisateurs privilégiés (par exemple, Administrateur de domaine, d'entreprise ou Shema) doit être soigneusement surveillé et empêché, car ces types de comptes ne doivent pas être utilisés pour accéder aux données dans les stockages. S'il est possible de surveiller et d'alerter, vous devez suivre les utilisateurs qui récupèrent et visualisent un grand nombre de documents et de pages. Ce comportement peut indiquer le fonctionnement d'un logiciel qui récupère les données du stockage. Dans les environnements à maturité élevée, les systèmes User-Behavioraln Analytics (UBA) peuvent être utilisés pour détecter des anomalies dans le comportement des utilisateurs.
Microsoft SharePoint peut être configuré pour enregistrer l'accès des utilisateurs à des pages et documents spécifiques. Dans Confluence Atlassian, une journalisation similaire peut être configurée via AccessLogFilter. Une détection plus efficace nécessitera probablement une infrastructure supplémentaire pour le stockage et l'analyse des journaux.
Système: Windows, Linux, macOS
Description: Des données confidentielles peuvent être obtenues à partir de sources système locales, telles qu'un système de fichiers ou une base de données, à des fins d'exfiltration.
Les attaquants recherchent souvent des fichiers sur des ordinateurs qu'ils ont piratés. Ils peuvent le faire en utilisant l'interface de ligne de commande (cmd). Des méthodes d'automatisation du processus de collecte de données peuvent également être utilisées.
Système: Windows, Linux, macOS
Description: les données sensibles peuvent être collectées à partir de systèmes distants qui ont des lecteurs réseau accessibles au public (dossier réseau local ou serveur de fichiers) à la disposition de l'adversaire.
Afin de détecter les fichiers cibles, un attaquant peut rechercher des ressources réseau sur des ordinateurs qui ont été compromis. Pour collecter des informations, des shells de commande interactifs et des fonctions de ligne de commande communes peuvent être utilisés.
Système: Windows, Linux, macOS
Description: Les données sensibles peuvent être collectées à partir de tout support amovible (lecteur optique, lecteur USB, etc.) connecté à un système compromis.
Afin de détecter les fichiers cibles, un attaquant peut rechercher des supports amovibles sur des ordinateurs compromis. Pour collecter des informations, des shells de commande interactifs et des fonctions de ligne de commande communes, ainsi que des outils d'automatisation pour la collecte de données, peuvent être utilisés.
Système: Windows
Description: Afin de collecter des informations confidentielles, les attaquants peuvent utiliser des boîtes aux lettres électroniques personnalisées. Les données contenues dans les e-mails peuvent être obtenues à partir de fichiers de données Outlook (.pst) ou de fichiers cache (.ost). Disposant des informations d'identification de l'utilisateur, un adversaire peut interagir directement avec le serveur Exhange et accéder à une interface Web de messagerie externe, telle qu'Outlook Web Access.
Recommandations de sécurité: l' utilisation du chiffrement fournit une couche supplémentaire de protection pour les informations confidentielles transmises par e-mail. L'utilisation du chiffrement asymétrique obligera l'adversaire à obtenir un certificat privé avec une clé de chiffrement. L'utilisation de l'authentification à deux facteurs dans les systèmes de messagerie Web publics est la meilleure pratique pour minimiser la possibilité qu'un attaquant utilise les informations d'identification de quelqu'un d'autre.
Il existe plusieurs façons pour un attaquant d'obtenir un e-mail ciblé, chacun disposant de son propre mécanisme de détection. Les indicateurs d'activité malveillante peuvent être: l'accès aux fichiers de données de messagerie du système local pour une exfiltration ultérieure, des processus inhabituels de connexion au serveur de messagerie sur le réseau, ainsi que des modèles d'accès atypiques et des tentatives d'authentification sur les serveurs Web de messagerie publics. Suivez les processus et les arguments de ligne de commande qui peuvent être utilisés pour collecter les fichiers de données de courrier électronique. Les outils d'accès à distance peuvent interagir directement avec l'API Windows. Les données peuvent également être récupérées à l'aide de divers outils de gestion Windows, tels que WMI ou PowerShell.
Système: Windows, Linux, macOS
Droits: administrateur, système
Description: les attaquants peuvent utiliser les moyens de capturer les entrées des utilisateurs afin d'obtenir les informations d'identification des comptes existants. L'enregistrement de frappe est le type le plus courant de capture d'entrée utilisateur, comprenant de nombreuses méthodes différentes d'interception des frappes, mais il existe d'autres méthodes pour obtenir des informations cibles telles que l'appel d'une demande UAC ou l'écriture d'un shell pour le fournisseur d'informations d'identification par défaut (Windows Credential Providers). L'enregistrement de clés est le moyen le plus courant de voler des informations d'identification lorsque l'utilisation des techniques de vidage d'informations d'identification est inefficace et que l'attaquant est obligé de rester passif pendant une certaine période de temps.
Afin de collecter les informations d'identification de l'utilisateur, un attaquant peut également installer un enregistreur de frappe logiciel sur des portails d'entreprise externes, par exemple, sur la page de connexion VPN. Cela est possible après avoir compromis le portail ou le service en obtenant un accès administratif légitime, qui à son tour pourrait être organisé pour fournir un accès de sauvegarde aux étapes de l'obtention de l'accès initial et de sa sécurisation dans le système.
Recommandations de protection: Assurez la détection et le blocage des logiciels potentiellement dangereux et malveillants à l'aide d'outils tels que AppLocker ou des politiques de restriction logicielle. Prenez des mesures pour réduire les dégâts si un attaquant obtient des informations d'identification. Suivez
les meilleures pratiques de Microsoft pour développer et administrer votre réseau d'entreprise .
Les enregistreurs de frappe peuvent modifier le registre et installer des pilotes. Les fonctions API couramment utilisées sont SetWindowsHook, GetKeyState, GetAsyncKeyState. Les appels aux fonctions API ne peuvent pas à eux seuls être des indicateurs de l'enregistrement des touches, mais en conjonction avec une analyse des modifications du registre, la détection de l'installation du pilote et l'apparition de nouveaux fichiers sur le disque peuvent indiquer une activité malveillante. Suivez l'apparence des fournisseurs d'informations d'identification personnalisées dans le registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential ProvidersSystème: Windows
Droits: administrateur, système
Description: au cours de diverses méthodes d'attaque MitB, un adversaire, profitant de la vulnérabilité du navigateur de la victime, peut modifier le contenu Web à l'aide d'un programme malveillant, par exemple, ajouter des champs de saisie à une page, modifier la saisie de l'utilisateur, intercepter des informations. Un exemple spécifique est le cas où un attaquant injecte un logiciel dans le navigateur qui permet aux cookies, aux sessions HTTP, aux certificats client SSL client d'être hérités et d'utiliser le navigateur comme moyen d'authentification et d'accéder à l'intranet.
Une attaque nécessite des privilèges SeDebugPrivilege et des processus de haute intégrité (Comprendre le mode protégé). En définissant le proxy HTTP, HTTP et HTTPS, le trafic est redirigé depuis le navigateur de l'attaquant via un navigateur utilisateur. Dans le même temps, le trafic utilisateur ne change pas et la connexion proxy est déconnectée dès la fermeture du navigateur. Cela permet à l'adversaire, y compris de visualiser des pages Web en tant qu'utilisateur attaqué.
En règle générale, pour chaque nouvel onglet, le navigateur crée un nouveau processus avec des autorisations et des certificats distincts. À l'aide de ces autorisations, un adversaire peut accéder à n'importe quelle ressource de l'intranet accessible via un navigateur disposant de droits existants, comme Sharepoint ou Webmail. Le pivotement du navigateur élimine également la protection d'authentification à deux facteurs.
Recommandations de protection
: il est recommandé que le vecteur de
protection vise à restreindre les autorisations des utilisateurs, à empêcher l'escalade des privilèges et à contourner l'UAC. Fermez toutes les sessions du navigateur régulièrement et lorsqu'elles ne sont plus nécessaires. La détection MitB est extrêmement difficile car le trafic ennemi est déguisé en trafic utilisateur normal, aucun nouveau processus n'est créé, aucun logiciel supplémentaire n'est utilisé et le lecteur local de l'hôte attaqué n'est pas affecté. Les journaux d'authentification peuvent être utilisés pour auditer les connexions des utilisateurs à des applications Web spécifiques, mais l'identification d'activités malveillantes peut être difficile, car l'activité correspondra au comportement normal de l'utilisateur.
Système: Windows, Linux, macOS
Description: lors de la collecte d'informations, les adversaires peuvent essayer de prendre des captures d'écran du bureau. La fonctionnalité correspondante peut être incluse dans les outils d'accès à distance utilisés après compromis.
Mac
OSX utilise la commande screencapture intégrée pour capturer des captures d'écran.
Linux
Sous Linux, il existe une commande xwd.
Recommandations de protection: En tant que méthode de détection, il est recommandé de surveiller les processus qui utilisent l'API pour prendre des captures d'écran puis écrire des fichiers sur le disque. Cependant, selon la légitimité d'un tel comportement dans un système particulier, une corrélation supplémentaire des données collectées avec d'autres événements dans le système sera très probablement nécessaire pour détecter une activité malveillante.
Système: Windows, macOS
Description: un adversaire peut utiliser des périphériques informatiques (par exemple, des caméras et des webcams intégrées) ou des applications (par exemple, des services d'appel vidéo) pour capturer des vidéos ou des images. La capture vidéo, contrairement aux méthodes de capture d'écran, implique l'utilisation d'appareils et d'applications pour enregistrer des vidéos, plutôt que de capturer des images à partir de l'écran de la victime. Au lieu de fichiers vidéo, des images peuvent être capturées à certains intervalles.
Des logiciels ou des scripts malveillants peuvent être utilisés pour interagir avec des appareils via l'API fournie par le système d'exploitation ou l'application pour capturer des vidéos ou des images. Les fichiers collectés peuvent être écrits sur le disque et ensuite filtrés.
Plusieurs programmes malveillants différents sont connus pour macOS, par exemple Proton et FriutFly, qui peuvent enregistrer des vidéos à partir de la webcam d'un utilisateur.
Conseils de sécurité: L'opposition directe à la technique ci-dessus peut être difficile car elle nécessite un contrôle détaillé de l'API. Les efforts de protection doivent viser à empêcher le code indésirable ou inconnu dans le système.
Identifiez et bloquez les logiciels potentiellement dangereux et malveillants qui peuvent être utilisés pour enregistrer du son à l'aide d'AppLocker et des stratégies de restriction logicielle.
La détection d'activités malveillantes peut également être difficile en raison de diverses API. Selon la façon dont le système attaqué est utilisé, les données de télémétrie concernant l'API peuvent être inutiles ou, au contraire, fournir du contenu pour d'autres activités malveillantes se produisant dans le système. Un indicateur d'activité ennemie peut être un processus inconnu ou inhabituel d'accès à l'API associé à des appareils ou des logiciels qui interagissent avec un microphone, des appareils d'enregistrement, des programmes d'enregistrement ou un processus qui écrit périodiquement des fichiers sur le disque qui contiennent des données audio.