Tautan ke semua bagian:Bagian 1. Mendapatkan akses awal (Akses Awal)Bagian 2. EksekusiBagian 3. Fastening (Kegigihan)Bagian 4. Eskalasi PrivilegeBagian 5. Pertahanan EvasionBagian 6. Mendapatkan kredensial (Akses Kredensial)Bagian 7. PenemuanBagian 8. Gerakan LateralBagian 9. Pengumpulan data (Pengumpulan)Bagian 10 PengelupasanBagian 11. Perintah dan KontrolTeknik untuk mengumpulkan data dalam lingkungan yang dikompromikan termasuk metode untuk mengidentifikasi, melokalkan dan secara langsung mengumpulkan informasi yang ditargetkan (misalnya, file rahasia) untuk mempersiapkannya untuk pengusiran lebih lanjut. Deskripsi metode pengumpulan informasi juga mencakup deskripsi tempat penyimpanan informasi dalam sistem atau jaringan di mana lawan dapat mencari dan mengumpulkannya.
Indikator implementasi sebagian besar teknik pengumpulan data yang disajikan dalam ATT & CK adalah proses yang menggunakan API, WMI, PowerShell, Cmd atau Bash untuk menangkap informasi target dari perangkat input / output atau membuka file untuk dibaca beberapa kali dan kemudian menyalin data yang diterima ke tempat tertentu pada sistem file atau jaringan . Informasi selama pengumpulan data dapat dienkripsi dan digabungkan menjadi file arsip.
Identifikasi dan pemblokiran perangkat lunak yang berpotensi berbahaya dan berbahaya menggunakan alat untuk mengatur daftar putih aplikasi seperti AppLocker dan Kebijakan Pembatasan Sofware pada Windows, enkripsi dan penyimpanan informasi sensitif di luar sistem lokal, pembatasan hak ditawarkan sebagai rekomendasi umum tentang perlindungan terhadap pengumpulan data. akses pengguna ke direktori jaringan dan penyimpanan informasi perusahaan, penerapan kebijakan kata sandi dan otentikasi dua faktor dalam lingkungan yang dilindungi.
Penulis tidak bertanggung jawab atas konsekuensi yang mungkin dari penerapan informasi yang ditetapkan dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang dipublikasikan adalah pengungkapan kembali gratis konten MITER ATT & CK .Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Musuh dapat menggunakan periferal komputer (misalnya, mikrofon atau webcam) atau aplikasi (misalnya, layanan panggilan suara dan video) untuk menangkap rekaman audio agar dapat lebih mendengarkan percakapan rahasia. Perangkat lunak atau skrip berbahaya dapat digunakan untuk berinteraksi dengan perangkat periferal melalui fungsi API yang disediakan oleh sistem operasi atau aplikasi. File audio yang dikumpulkan dapat direkam ke disk lokal dengan exfiltrasi berikutnya.
Kiat Keamanan: Penentangan langsung terhadap teknik di atas bisa sulit karena memerlukan kontrol terperinci atas penggunaan API. Mendeteksi aktivitas jahat juga bisa sulit karena beragam fungsi API.
Bergantung pada tujuan sistem yang diserang, data tentang penggunaan API dapat sepenuhnya tidak berguna atau, sebaliknya, menyediakan konten untuk mendeteksi aktivitas berbahaya lainnya yang terjadi dalam sistem. Indikator aktivitas musuh dapat berupa proses tidak dikenal atau tidak biasa mengakses API yang terkait dengan perangkat atau perangkat lunak yang berinteraksi dengan mikrofon, perangkat rekaman, program perekaman, atau proses yang secara berkala menulis file yang berisi data audio ke disk.
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Penyerang dapat menggunakan alat otomatisasi untuk mengumpulkan data internal, seperti skrip, untuk menemukan dan menyalin informasi yang memenuhi kriteria tertentu - jenis file, lokasi, nama, interval waktu. Fungsi ini juga dapat diintegrasikan ke dalam utilitas akses jarak jauh. Dalam proses otomatisasi pengumpulan data untuk tujuan mengidentifikasi dan memindahkan file, teknik untuk mendeteksi file dan direktori (
File dan Direktori Discovery ) dan menyalin file jarak jauh (
Remote File Copy ) juga dapat diterapkan.
Rekomendasi perlindungan: Enkripsi dan penyimpanan informasi rahasia di luar sistem adalah salah satu cara menangkal koleksi file, namun, jika intrusi berlangsung lama, musuh dapat mendeteksi dan mendapatkan akses ke data dengan cara lain. Misalnya, keylogger yang diinstal dalam sistem, dengan menyadap input, dapat mengumpulkan kata sandi untuk mendekripsi dokumen yang dilindungi. Untuk mencegah peretasan dokumen terenkripsi secara offline dengan kekerasan, Anda harus menggunakan kata sandi yang kuat.
Sistem: Windows, Linux, macOS
Deskripsi: Penentang dapat mengumpulkan data dari papan klip Windows, disimpan di dalamnya selama penyalinan informasi oleh pengguna di dalam atau di antara aplikasi.
WindowsAplikasi dapat mengakses data clipboard menggunakan Windows API.
MacOSOSX memiliki perintah
pbpast built-in untuk mengambil konten clipboard.
Rekomendasi perlindungan: Jangan memblokir perangkat lunak berdasarkan mengidentifikasi perilaku yang terkait dengan penangkapan konten clipboard, seperti akses ke clipboard adalah fitur standar dari banyak aplikasi Windows. Jika organisasi memutuskan untuk melacak perilaku aplikasi ini, maka data pemantauan harus dibandingkan dengan tindakan mencurigakan atau non-pengguna.
Sistem: Windows, Linux, macOS
Deskripsi: Sebelum exfiltration, data yang dikumpulkan biasanya ditempatkan di direktori tertentu. Data dapat disimpan dalam file terpisah atau digabungkan menjadi satu file menggunakan kompresi atau enkripsi. Shell perintah interaktif dapat digunakan sebagai alat, fungsi cmd dan bash dapat digunakan untuk menyalin data ke lokasi perantara.
Sistem: Windows, Linux, macOS
Hak: Pengguna
Deskripsi: Penentang dapat mengekstraksi informasi berharga dari repositori informasi - alat yang memungkinkan Anda untuk menyimpan informasi, sebagai aturan, untuk mengoptimalkan kolaborasi atau pertukaran data antara pengguna. Penyimpanan informasi dapat berisi sejumlah besar data yang dapat membantu penyerang mencapai tujuan lain atau menyediakan akses ke informasi yang ditargetkan.
Berikut ini adalah daftar pendek informasi yang dapat ditemukan dalam repositori informasi dan nilai potensial bagi penyerang:
- Kebijakan, Prosedur, dan Standar;
- Skema jaringan fisik / logis;
- Skema arsitektur sistem;
- Dokumentasi sistem teknis;
- Kredensial untuk pengujian / pengembangan;
- Rencana kerja / proyek;
- Cuplikan kode sumber;
- Tautan ke direktori jaringan dan sumber daya internal lainnya.
Gudang informasi umum:
Microsoft SharePointItu terletak di banyak jaringan perusahaan dan sering digunakan untuk menyimpan dan bertukar sejumlah besar dokumentasi.
Pertemuan AtlassianSering ditemukan di lingkungan pengembangan bersama dengan Atlassian JIRA. Confluence biasanya digunakan untuk menyimpan dokumentasi terkait pengembangan.
Rekomendasi perlindungan: Tindakan yang
disarankan untuk mencegah pengumpulan data dari repositori informasi:
- Pengembangan dan publikasi kebijakan yang mendefinisikan informasi yang dapat diterima untuk dicatat di penyimpanan informasi;
- Implementasi mekanisme kontrol akses, yang mencakup otentikasi dan otorisasi yang sesuai;
- Memastikan prinsip hak istimewa yang paling rendah;
- Tinjauan berkala atas hak istimewa akun;
- Cegah akses ke Akun Valid yang valid yang dapat digunakan untuk mengakses repositori informasi.
Karena repositori informasi biasanya memiliki basis pengguna yang cukup besar, mendeteksi penggunaan jahatnya dapat menjadi tugas yang tidak sepele. Paling tidak, akses ke penyimpanan informasi yang dilakukan oleh pengguna yang memiliki hak istimewa (misalnya, Domain, Enterprise atau Admin Shema) harus dipantau dan dicegah dengan hati-hati, karena jenis akun ini tidak boleh digunakan untuk mengakses data dalam penyimpanan. Jika dimungkinkan untuk memantau dan mengingatkan, maka Anda perlu melacak pengguna yang mengambil dan melihat sejumlah besar dokumen dan halaman. Perilaku ini dapat menunjukkan operasi perangkat lunak yang mengambil data dari penyimpanan. Di lingkungan dengan kematangan tinggi, sistem User-Behavioraln Analytics (UBA) dapat digunakan untuk mendeteksi kelainan perilaku pengguna.
Microsoft SharePoint dapat dikonfigurasi untuk mencatat akses pengguna ke halaman dan dokumen tertentu. Dalam Confluence Atlassian, logging yang serupa dapat dikonfigurasi melalui AccessLogFilter. Deteksi yang lebih efisien mungkin akan membutuhkan infrastruktur tambahan untuk menyimpan dan menganalisis log.
Sistem: Windows, Linux, macOS
Deskripsi: Data rahasia dapat diperoleh dari sumber sistem lokal, seperti sistem file atau database, untuk tujuan pengelupasan lebih lanjut.
Penyerang sering mencari file di komputer yang mereka retas. Mereka dapat melakukan ini menggunakan antarmuka baris perintah (cmd). Metode otomatisasi proses pengumpulan data juga dapat digunakan.
Sistem: Windows, Linux, macOS
Deskripsi: Data sensitif dapat dikumpulkan dari sistem jarak jauh yang memiliki drive jaringan yang dapat diakses publik (folder jaringan lokal atau server file) tersedia untuk musuh.
Untuk mendeteksi file target, penyerang dapat mencari sumber daya jaringan pada komputer yang telah dikompromikan. Untuk mengumpulkan informasi, shell perintah interaktif dan fungsi baris perintah umum dapat digunakan.
Sistem: Windows, Linux, macOS
Deskripsi: Data sensitif dapat dikumpulkan dari semua media yang dapat dilepas (drive optik, drive USB, dll.) Yang terhubung ke sistem yang disusupi.
Untuk mendeteksi file target, penyerang dapat mencari media yang dapat dilepas pada komputer yang dikompromikan. Untuk mengumpulkan informasi, baik shell perintah interaktif dan fungsi baris perintah umum, serta alat otomatisasi untuk pengumpulan data, dapat digunakan.
Sistem: Windows
Deskripsi: Untuk mengumpulkan informasi rahasia, penyerang dapat menggunakan kotak surat elektronik khusus. Data yang terkandung dalam email dapat diperoleh dari file data Outlook (.pst) atau file cache (.ost). Memiliki kredensial pengguna, musuh dapat berinteraksi dengan server Exhange secara langsung dan mendapatkan akses ke antarmuka web email eksternal, seperti Outlook Web Access.
Rekomendasi keamanan: Menggunakan enkripsi menyediakan lapisan perlindungan tambahan untuk informasi rahasia yang dikirimkan melalui email. Menggunakan enkripsi asimetris akan membutuhkan musuh untuk mendapatkan sertifikat pribadi dengan kunci enkripsi. Penggunaan otentikasi dua faktor dalam sistem email web publik adalah praktik terbaik untuk meminimalkan kemungkinan penyerang menggunakan kredensial orang lain.
Ada beberapa cara penyerang dapat memperoleh email yang ditargetkan, yang masing-masing memiliki mekanisme pendeteksian sendiri. Indikator aktivitas jahat dapat berupa: akses ke file data email sistem lokal untuk exfiltrasi berikutnya, proses yang tidak biasa terhubung ke server email di jaringan, serta pola akses yang tidak biasa dan upaya otentikasi pada server web email publik. Lacak proses dan argumen baris perintah yang dapat digunakan untuk mengumpulkan file data email. Alat akses jarak jauh dapat berinteraksi langsung dengan Windows API. Data juga dapat diambil menggunakan berbagai alat manajemen Windows, seperti WMI atau PowerShell.
Sistem: Windows, Linux, macOS
Hak: Administrator, Sistem
Deskripsi: Penyerang dapat menggunakan cara menangkap input pengguna untuk mendapatkan kredensial akun yang ada. Keylogging adalah jenis tangkapan input pengguna yang paling umum, termasuk banyak metode yang berbeda untuk menekan penekanan tombol, tetapi ada metode lain untuk mendapatkan informasi target seperti memanggil permintaan UAC atau menulis shell untuk penyedia kredensial default (Penyedia Kredensial Windows). Keylogging adalah cara paling umum untuk mencuri kredensial ketika penggunaan teknik dumping kredensial tidak efisien dan penyerang dipaksa untuk tetap pasif selama periode waktu tertentu.
Untuk mengumpulkan kredensial pengguna, penyerang juga dapat menginstal keylogger perangkat lunak pada portal perusahaan eksternal, misalnya, pada halaman login VPN. Ini dimungkinkan setelah portal atau layanan terganggu dengan memperoleh akses administratif yang sah, yang pada gilirannya dapat diatur untuk menyediakan akses cadangan pada tahap-tahap mendapatkan akses awal dan mengamankannya dalam sistem.
Rekomendasi perlindungan: Pastikan deteksi dan pemblokiran perangkat lunak yang berpotensi berbahaya dan berbahaya menggunakan alat seperti AppLocker atau kebijakan pembatasan perangkat lunak. Ambil tindakan untuk mengurangi kerusakan jika penyerang memperoleh kredensial. Ikuti
praktik terbaik Microsoft untuk mengembangkan dan mengelola jaringan perusahaan Anda .
Keyloggers dapat memodifikasi registri dan menginstal driver. Fungsi API yang umum digunakan adalah SetWindowsHook, GetKeyState, GetAsyncKeyState. Panggilan ke fungsi API saja tidak dapat menjadi indikasi keylogging, tetapi bersamaan dengan analisis perubahan registri, deteksi instalasi driver dan tampilan file baru pada disk dapat menunjukkan aktivitas berbahaya. Lacak penampilan Penyedia Kredensial Ubahsuaian di registri:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential ProvidersSistem: Windows
Hak: Administrator, Sistem
Deskripsi: Selama berbagai metode serangan MitB, musuh, yang memanfaatkan kerentanan browser korban, dapat memodifikasi konten web menggunakan program jahat, misalnya, menambahkan bidang input ke halaman, memodifikasi input pengguna, mencegat informasi. Contoh spesifik adalah kasus ketika penyerang menyuntikkan perangkat lunak ke dalam browser yang memungkinkan cookie, sesi HTTP, sertifikat klien SSL klien untuk diwarisi dan menggunakan browser sebagai cara untuk mengotentikasi dan pergi ke intranet.
Serangan membutuhkan hak SeDebugPrivilege dan proses integritas tinggi (Memahami Mode Terlindungi). Dengan mengatur proxy HTTP, HTTP, dan HTTPS, lalu lintas dialihkan dari browser penyerang melalui browser pengguna. Pada saat yang sama, lalu lintas pengguna tidak berubah, dan koneksi proxy terputus segera setelah browser ditutup. Ini memungkinkan musuh, termasuk melihat halaman web sebagai pengguna yang diserang.
Biasanya, untuk setiap tab baru, peramban membuat proses baru dengan izin dan sertifikat terpisah. Menggunakan izin ini, musuh dapat pergi ke sumber daya apa pun di intranet yang dapat diakses melalui browser dengan hak yang ada, seperti Sharepoint atau Webmail. Pivoting peramban juga menghilangkan perlindungan dua faktor otentikasi.
Rekomendasi perlindungan
: Disarankan agar vektor
perlindungan ditujukan untuk membatasi izin pengguna, mencegah peningkatan hak istimewa dan melewati UAC. Tutup semua sesi browser secara teratur dan saat tidak diperlukan lagi. Deteksi mitB sangat sulit lalu lintas musuh disamarkan sebagai lalu lintas pengguna normal, tidak ada proses baru yang dibuat, tidak ada perangkat lunak tambahan yang digunakan, dan drive lokal dari host yang diserang tidak terpengaruh. Log otentikasi dapat digunakan untuk mengaudit login pengguna ke aplikasi web tertentu, namun, mengidentifikasi aktivitas jahat di antara mereka bisa sulit, karena aktivitas akan sesuai dengan perilaku pengguna normal.
Sistem: Windows, Linux, macOS
Deskripsi: Selama pengumpulan informasi, lawan mungkin mencoba mengambil tangkapan layar desktop. Fungsi yang sesuai dapat dimasukkan dalam alat akses jarak jauh yang digunakan setelah kompromi.
Mac
OSX menggunakan perintah screencapture bawaan untuk mengambil tangkapan layar.
Linux
Di Linux, ada perintah xwd.
Rekomendasi perlindungan: Sebagai metode pendeteksian, disarankan untuk memantau proses yang menggunakan API untuk mengambil tangkapan layar dan kemudian menulis file ke disk. Namun, tergantung pada legitimasi perilaku tersebut dalam sistem tertentu, korelasi tambahan dari data yang dikumpulkan dengan peristiwa lain dalam sistem kemungkinan besar akan diperlukan untuk mendeteksi aktivitas berbahaya.
Sistem: Windows, macOS
Deskripsi: Musuh dapat menggunakan periferal komputer (misalnya, kamera dan webcam bawaan) atau aplikasi (misalnya, layanan panggilan video) untuk mengambil video atau gambar. Pengambilan video, tidak seperti metode tangkapan layar, melibatkan penggunaan perangkat dan aplikasi untuk merekam video, daripada mengambil gambar dari layar korban. Alih-alih file video, gambar dapat diambil pada interval tertentu.
Perangkat lunak atau skrip berbahaya dapat digunakan untuk berinteraksi dengan perangkat melalui API yang disediakan oleh sistem operasi atau aplikasi untuk menangkap video atau gambar. File yang dikumpulkan dapat ditulis ke disk dan kemudian difilter.
Beberapa program jahat yang berbeda dikenal untuk macOS, misalnya Proton dan FriutFly, yang dapat merekam video dari webcam pengguna.
Kiat Keamanan: Penentangan langsung terhadap teknik di atas mungkin sulit karena memerlukan kontrol API terperinci. Upaya perlindungan harus ditujukan untuk mencegah kode yang tidak diinginkan atau tidak dikenal dalam sistem.
Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya dan berbahaya yang dapat digunakan untuk merekam suara menggunakan AppLocker dan Kebijakan Pembatasan Perangkat Lunak.
Mendeteksi aktivitas jahat juga bisa sulit karena berbagai API. Bergantung pada bagaimana sistem diserang digunakan, data telemetri mengenai API mungkin tidak berguna atau, sebaliknya, menyediakan konten untuk kegiatan berbahaya lainnya yang terjadi dalam sistem. Indikator aktivitas musuh dapat berupa proses yang tidak dikenal atau tidak biasa dalam mengakses API yang terkait dengan perangkat atau perangkat lunak yang berinteraksi dengan mikrofon, perangkat rekaman, program perekaman, atau proses yang secara berkala menulis file ke disk yang berisi data audio.