Liens vers toutes les parties:Partie 1. Obtention de l'accès initial (accès initial)Partie 2. ExécutionPartie 3. Fixation (persistance)Partie 4. Escalade de privilègesPartie 5. Évasion de la défensePartie 6. Obtention des informations d'identification (accès aux informations d'identification)Partie 7. DécouvertePartie 8. Mouvement latéralPartie 9. Collecte de données (collecte)Partie 10 ExfiltrationPartie 11. Commandement et contrôleCette section de ATT & CK Enterprise Tactics décrit les techniques de transfert de données utilisées par les cybercriminels / programmes malveillants pour supprimer / voler / divulguer les informations ciblées d'un système compromis.
L'auteur n'est pas responsable des conséquences possibles de l'application des informations énoncées dans l'article, et s'excuse également pour d'éventuelles inexactitudes faites dans certaines formulations et termes. Les informations publiées sont une nouvelle version gratuite du contenu de MITRE ATT & CK .Système: Windows, Linux, macOS
Description: l' exfiltration de données contenant des informations confidentielles peut être effectuée à l'aide d'outils de traitement automatisé d'informations et de scripts après ou pendant la collecte des informations cibles. Parallèlement aux moyens d'automatisation de l'exfiltration, des méthodes d'exfiltration via le canal de contrôle (C2) ou un protocole alternatif peuvent également être appliquées pour transmettre des données sur le réseau.
Recommandations de protection: identifiez et bloquez les logiciels potentiellement dangereux et malveillants à l'aide d'outils d'application sur liste blanche tels que AppLocker ou les politiques de restriction logicielle.
Système: Windows, Linux, macOS
Description: Afin de réduire la quantité de données, l'adversaire peut compresser les données cibles collectées pour l'exfiltration. La compression est effectuée en dehors du canal de transmission à l'aide d'un logiciel utilisateur, d'un algorithme de compression ou d'une bibliothèque / utilitaire commun, tel que 7zip, RAR, ZIP ou zlib.
Recommandations de protection: Afin de contourner IPS ou DLP, qui bloquent la transmission de fichiers d'un certain type ou contenant un certain en-tête sur des canaux de communication non cryptés, un attaquant peut passer au cryptage d'un canal d'exfiltration. Les logiciels de compression et les fichiers compressés peuvent être détectés à l'avance en surveillant les processus et les arguments de ligne de commande liés à l'appel à des utilitaires de compression de données bien connus, mais cette approche implique l'analyse d'un grand nombre de faux événements.
Système: Windows, Linux, macOS
Description: Avant l'exfiltration, les données cibles peuvent être cryptées afin de masquer les informations volées, d'échapper à la détection ou de rendre le processus moins visible. Le chiffrement est effectué à l'aide d'un utilitaire, d'une bibliothèque ou d'un algorithme utilisateur et est effectué en dehors du canal de contrôle (C2) et du protocole de transfert de fichiers. Les formats d'archives courants prenant en charge le chiffrement des données sont RAR et zip.
Recommandations de protection: Le lancement d'un logiciel de chiffrement de fichiers bien connu peut être détecté en surveillant les processus et les arguments de ligne de commande, mais cette approche implique l'analyse d'un grand nombre de faux événements. Les processus de chargement de la DLL Windows crypt.32.dll peuvent être utilisés par un adversaire pour effectuer le chiffrement, le déchiffrement ou vérifier les signatures de fichiers. L'identification du fait de la transmission de données cryptées peut être effectuée en analysant l'entropie du trafic réseau. Si le canal n'est pas chiffré, les transferts de fichiers de types connus peuvent être détectés par les systèmes IDS ou DLP analysant les en-têtes de fichiers.
Système: Windows, Linux, macOS
Description: afin de se cacher des outils de protection et des avertissements éventuels concernant le dépassement du seuil autorisé de données transmises sur le réseau, un attaquant peut casser des fichiers exfiltrés en plusieurs fragments de même taille ou limiter la taille des paquets réseau en dessous de la valeur seuil.
Recommandations de protection: IDS et DLP, en utilisant l'analyse du trafic basée sur les signatures, peuvent être utilisés pour détecter et bloquer uniquement les outils de contrôle et de surveillance spécifiques (C2) et les logiciels malveillants, de sorte que l'adversaire changera très probablement les outils utilisés au fil du temps ou configurera le protocole de transfert de données afin éviter la détection au moyen d'une protection connue de lui.
En tant que technique de détection, il est recommandé d'analyser le trafic réseau pour les flux de données inhabituels (par exemple, le client envoie beaucoup plus de données qu'il n'en reçoit du serveur). Un processus malveillant peut maintenir une connexion pendant une longue période en envoyant séquentiellement des paquets d'une taille fixe ou ouvrir une connexion et transférer des données à intervalles fixes. Une telle activité de processus qui n'utilisent généralement pas le réseau doit être suspecte. L'incohérence du numéro de port utilisé avec le transfert de données et du numéro de port défini par défaut dans le protocole réseau peut également indiquer une activité malveillante.
Système: Windows, Linux, macOS
Description: L'exfiltration des données, en règle générale, est effectuée selon un protocole alternatif, différent du protocole utilisé par l'adversaire pour organiser un canal de contrôle (C2). Les protocoles alternatifs incluent FTP, SMTP, HTTP / S, DNS et d'autres protocoles réseau, ainsi que des services Web externes tels que le stockage en nuage.
Recommandations de
protection: suivez les recommandations de configuration des pare-feu, en limitant l'entrée et la sortie du trafic du réseau aux seuls ports autorisés. Par exemple, si vous n'utilisez pas le service FTP pour envoyer des informations en dehors du réseau, bloquez les ports associés au protocole FTP autour du périmètre du réseau. Pour réduire la possibilité d'organiser un canal de contrôle et d'exfiltration, utilisez des serveurs proxy et des serveurs dédiés pour des services tels que DNS, et autorisez les systèmes à communiquer uniquement via les ports et protocoles appropriés.
Pour détecter et empêcher les méthodes connues d'organisation d'un canal de contrôle et d'exfiltration de données, utilisez des systèmes IDS / IPS à l'aide d'une analyse du trafic basée sur les signatures. Cependant, les attaquants sont susceptibles de modifier le protocole de contrôle et d'exfiltration au fil du temps pour éviter la détection par des outils de sécurité.
En tant que technique de détection, il est également recommandé d'analyser le trafic réseau pour les flux de données inhabituels (par exemple, le client envoie beaucoup plus de données qu'il n'en reçoit du serveur). Une incohérence entre le numéro de port utilisé et le numéro de port défini dans le protocole réseau par défaut peut également indiquer une activité malveillante.
Système: Windows, Linux, macOS
Description: l' exfiltration des données peut être effectuée selon le même protocole que celui utilisé par un attaquant comme canal de contrôle (C2).
Recommandations de protection: utilisez des systèmes IDS / IPS pour organiser une analyse de signature du trafic afin d'identifier les moyens connus d'organiser un canal de contrôle et d'exfiltration. Analysez le trafic pour les flux de données inhabituels (par exemple, le client envoie beaucoup plus de données qu'il n'en reçoit du serveur). Une incohérence entre le numéro de port utilisé et le numéro de port défini dans le protocole réseau par défaut peut également indiquer une activité malveillante.
Système: Windows, Linux, macOS
Description: l' exfiltration des données peut avoir lieu dans un environnement réseau différent de l'environnement dans lequel le canal de contrôle est organisé (C2). Si le canal de contrôle utilise une connexion Internet filaire, une exfiltration peut se produire via une connexion sans fil - WiFi, réseau cellulaire, connexion Bluetooth ou un autre canal radio. S'il y a accessibilité et proximité, l'adversaire utilisera un autre support de transmission de données, car le trafic ne sera pas acheminé via le réseau d'entreprise attaqué et la connexion réseau peut être sécurisée ou ouverte.
Recommandations de protection: assurez-vous que les capteurs de sécurité de l'hôte prennent en charge l'audit de toutes les cartes réseau et, si possible, empêchez les nouvelles de se connecter. Suivez et analysez les modifications des paramètres de l'adaptateur réseau liées à l'ajout ou à la réplication d'interfaces réseau.
Système: Windows, Linux, macOS
Description: dans certaines circonstances, telles que l'isolement physique d'un réseau compromis, une exfiltration peut se produire via un support physique ou un périphérique connecté par l'utilisateur. Ces supports peuvent être un disque dur externe, une clé USB, un téléphone portable, un lecteur mp3 ou tout autre périphérique amovible pour stocker ou traiter des informations. Le support ou le dispositif physique peut être utilisé par l'adversaire comme point final d'exfiltration ou pour des transitions entre des systèmes isolés.
Recommandations de protection: désactivez l'exécution automatique des périphériques de stockage amovibles. Interdisez ou limitez l'utilisation de périphériques amovibles au niveau de la politique de sécurité de l'organisation s'ils ne sont pas requis pour les opérations commerciales.
Pour détecter l'exfiltration dans l'environnement physique, il est recommandé de surveiller l'accès aux fichiers sur les supports amovibles, ainsi que les processus d'audit qui démarrent lorsque les supports amovibles sont connectés.
Système: Windows, Linux, macOS
Description: l' exfiltration des données ne peut être effectuée qu'à une certaine heure de la journée ou à certains intervalles. Une telle planification est utilisée pour mélanger les données exfiltrées avec le trafic normal sur le réseau. Lors de l'utilisation d'une exfiltration planifiée, d'autres méthodes de fuite d'informations sont également utilisées, telles que l'exfiltration via le canal de contrôle (C2) et un protocole alternatif.
Recommandations de protection: utilisation de systèmes IDS / IPS avec analyse du trafic basée sur les signatures. Pour détecter les activités malveillantes, il est recommandé de surveiller les modèles d'accès des processus aux fichiers et les processus et scripts qui analysent le système de fichiers avec l'envoi ultérieur du trafic réseau. Les connexions réseau à la même adresse survenant au même moment de la journée pendant plusieurs jours doivent être suspectes.