Tautan ke semua bagian:Bagian 1. Mendapatkan akses awal (Akses Awal)Bagian 2. EksekusiBagian 3. Fastening (Kegigihan)Bagian 4. Eskalasi PrivilegeBagian 5. Pertahanan EvasionBagian 6. Mendapatkan kredensial (Akses Kredensial)Bagian 7. PenemuanBagian 8. Gerakan LateralBagian 9. Pengumpulan data (Pengumpulan)Bagian 10 PengelupasanBagian 11. Perintah dan KontrolBagian dari ATT & CK Enterprise Tactics ini menjelaskan teknik transfer data yang digunakan oleh penjahat cyber / malware untuk menghapus / mencuri / membocorkan informasi yang ditargetkan dari sistem yang dikompromikan.
Penulis tidak bertanggung jawab atas konsekuensi yang mungkin dari penerapan informasi yang ditetapkan dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang dipublikasikan adalah pengungkapan kembali gratis konten MITER ATT & CK .Sistem: Windows, Linux, macOS
Deskripsi: Pengelupasan data yang mengandung informasi rahasia dapat dilakukan dengan menggunakan alat dan skrip pemrosesan informasi otomatis setelah atau selama pengumpulan informasi target. Bersama dengan alat otomatisasi pengelupasan, metode pengelupasan melalui saluran kontrol (C2) atau protokol alternatif juga dapat diterapkan untuk mengirimkan data melalui jaringan.
Rekomendasi perlindungan: Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya dan berbahaya menggunakan alat aplikasi yang masuk daftar putih seperti AppLocker atau Kebijakan Pembatasan Perangkat Lunak.
Sistem: Windows, Linux, macOS
Deskripsi: Untuk mengurangi jumlah data, musuh dapat memampatkan data target yang dikumpulkan untuk exfiltration. Kompresi dilakukan di luar saluran transmisi menggunakan perangkat lunak pengguna, algoritma kompresi, atau perpustakaan umum / utilitas, seperti 7zip, RAR, ZIP, atau zlib.
Rekomendasi perlindungan: Untuk memintas IPS atau DLP, yang memblokir pengiriman file dari jenis tertentu atau berisi header tertentu melalui saluran komunikasi yang tidak dienkripsi, penyerang dapat beralih ke enkripsi saluran exfiltration. Perangkat lunak kompresi dan file terkompresi dapat dideteksi sebelumnya dengan proses pemantauan dan argumen baris perintah yang terkait dengan memanggil utilitas kompresi data yang terkenal, tetapi pendekatan ini melibatkan menganalisis sejumlah besar peristiwa palsu.
Sistem: Windows, Linux, macOS
Deskripsi: Sebelum exfiltration, data target dapat dienkripsi untuk menyembunyikan informasi yang dicuri, untuk menghindari deteksi atau untuk membuat proses kurang terlihat. Enkripsi dilakukan menggunakan utilitas, pustaka, atau algoritma pengguna dan dilakukan di luar saluran kontrol (C2) dan protokol transfer file. Format arsip umum yang mendukung enkripsi data adalah RAR dan zip.
Rekomendasi perlindungan: Peluncuran perangkat lunak enkripsi file yang terkenal dapat dideteksi oleh proses pemantauan dan argumen baris perintah, tetapi pendekatan ini melibatkan analisis sejumlah besar peristiwa palsu. Proses memuat Windows DLL crypt.32.dll dapat digunakan oleh musuh untuk melakukan enkripsi, dekripsi, atau memverifikasi tanda tangan file. Identifikasi fakta transmisi data terenkripsi dapat dilakukan dengan menganalisis entropi lalu lintas jaringan. Jika saluran tidak dienkripsi, transfer file dari tipe yang diketahui dapat dideteksi oleh sistem IDS atau DLP yang menganalisis header file.
Sistem: Windows, Linux, macOS
Deskripsi: Untuk menyembunyikan dari alat perlindungan dan kemungkinan peringatan tentang melebihi ambang batas yang diizinkan dari data yang dikirimkan melalui jaringan, penyerang dapat memecah file yang dikupas menjadi banyak fragmen dengan ukuran yang sama atau membatasi ukuran paket jaringan di bawah nilai ambang batas.
Rekomendasi perlindungan: IDS dan DLP, menggunakan analisis lalu lintas berbasis tanda tangan, dapat digunakan untuk mendeteksi dan memblokir hanya alat kontrol dan pemantauan yang dikenal (C2) dan program jahat, sehingga musuh kemungkinan besar akan mengubah alat yang digunakan dari waktu ke waktu atau mengkonfigurasi protokol transfer data sehingga untuk menghindari deteksi dengan cara perlindungan yang dikenalnya.
Sebagai teknik deteksi, disarankan untuk menganalisis lalu lintas jaringan untuk aliran data yang tidak biasa (misalnya, klien mengirim secara signifikan lebih banyak data daripada yang diterima dari server). Proses jahat dapat mempertahankan koneksi untuk waktu yang lama secara berurutan mengirim paket dengan ukuran tetap atau membuka koneksi dan mentransfer data pada interval tetap. Aktivitas proses yang biasanya tidak menggunakan jaringan harus mencurigakan. Ketidakkonsistenan nomor port yang digunakan dengan transfer data dan nomor port yang ditetapkan secara default dalam protokol jaringan juga dapat menunjukkan aktivitas jahat.
Sistem: Windows, Linux, macOS
Deskripsi: Eksfiltrasi data, sebagai suatu peraturan, dilakukan sesuai dengan protokol alternatif, berbeda dari protokol yang digunakan oleh musuh untuk mengatur saluran kontrol (C2). Protokol alternatif termasuk FTP, SMTP, HTTP / S, DNS dan protokol jaringan lainnya, serta layanan web eksternal seperti penyimpanan cloud.
Rekomendasi
perlindungan: Ikuti rekomendasi untuk mengkonfigurasi firewall, membatasi masuk dan keluarnya lalu lintas dari jaringan ke hanya port yang diizinkan. Misalnya, jika Anda tidak menggunakan layanan FTP untuk mengirim informasi di luar jaringan, maka blokir port yang terkait dengan protokol FTP di sekeliling batas jaringan. Untuk mengurangi kemungkinan mengatur saluran kontrol dan exfiltrasi, gunakan server proxy dan server khusus untuk layanan seperti DNS, dan izinkan sistem untuk berkomunikasi hanya melalui port dan protokol yang sesuai.
Untuk mendeteksi dan mencegah metode yang dikenal mengatur saluran kontrol dan exfiltrating data, gunakan sistem IDS / IPS menggunakan analisis lalu lintas berbasis tanda tangan. Namun, penyerang cenderung mengubah protokol kontrol dan exfiltrasi dari waktu ke waktu untuk menghindari deteksi oleh alat keamanan.
Sebagai teknik pendeteksian, disarankan juga untuk menganalisis lalu lintas jaringan untuk aliran data yang tidak biasa (misalnya, klien mengirim secara signifikan lebih banyak data daripada yang diterima dari server). Ketidakkonsistenan antara nomor port yang digunakan dan nomor port yang diatur dalam protokol jaringan default juga dapat menunjukkan aktivitas jahat.
Sistem: Windows, Linux, macOS
Deskripsi: Pengelupasan data dapat dilakukan sesuai dengan protokol yang sama yang digunakan oleh penyerang sebagai saluran kontrol (C2).
Rekomendasi perlindungan: Gunakan sistem IDS / IPS untuk mengatur analisis lalu lintas untuk mengidentifikasi cara-cara yang diketahui mengatur saluran kontrol dan exfiltrasi. Menganalisis lalu lintas untuk aliran data yang tidak biasa (misalnya, klien mengirim lebih banyak data secara signifikan daripada yang diterima dari server). Ketidakkonsistenan antara nomor port yang digunakan dan nomor port yang diatur dalam protokol jaringan default juga dapat menunjukkan aktivitas jahat.
Sistem: Windows, Linux, macOS
Deskripsi: Eksfiltrasi data dapat terjadi di lingkungan jaringan yang berbeda dari lingkungan di mana saluran kontrol diatur (C2). Jika saluran kontrol menggunakan koneksi Internet kabel, maka eksfiltrasi dapat terjadi melalui koneksi nirkabel - WiFi, jaringan seluler, koneksi Bluetooth atau saluran radio lainnya. Jika ada aksesibilitas dan kedekatan, musuh akan menggunakan media transmisi data alternatif, karena lalu lintas di dalamnya tidak akan dialihkan melalui jaringan perusahaan yang diserang, dan koneksi jaringan dapat aman atau terbuka.
Rekomendasi perlindungan: Pastikan sensor keamanan host mendukung audit semua adapter jaringan dan, jika mungkin, mencegah yang baru terhubung. Lacak dan analisis perubahan dalam pengaturan adaptor jaringan yang terkait dengan penambahan atau replikasi antarmuka jaringan.
Sistem: Windows, Linux, macOS
Deskripsi: Dalam keadaan tertentu, seperti isolasi fisik jaringan yang dikompromikan, pengelupasan dapat terjadi melalui media fisik atau perangkat yang terhubung oleh pengguna. Media tersebut dapat berupa hard drive eksternal, drive USB, ponsel, pemutar mp3 atau perangkat yang dapat dilepas lainnya untuk menyimpan atau memproses informasi. Media fisik atau perangkat dapat digunakan oleh musuh sebagai titik akhir dari pengelupasan atau untuk transisi antara sistem yang terisolasi.
Rekomendasi perlindungan: Nonaktifkan autorun perangkat penyimpanan yang dapat dilepas. Melarang atau membatasi penggunaan perangkat yang dapat dilepas pada tingkat kebijakan keamanan organisasi jika tidak diperlukan untuk operasi bisnis.
Sebagai langkah untuk mendeteksi exfiltrasi melalui lingkungan fisik, disarankan agar akses ke file pada media yang dapat dipindahkan dimonitor, serta proses audit yang dimulai ketika media yang dapat dilepas dihubungkan.
Sistem: Windows, Linux, macOS
Deskripsi: Eksfiltrasi data dapat dilakukan hanya pada waktu tertentu atau pada interval tertentu. Perencanaan seperti itu digunakan untuk mencampur data exfiltrated dengan lalu lintas normal di jaringan. Saat menggunakan exfiltrasi terencana, metode kebocoran informasi lainnya juga digunakan, seperti exfiltration melalui saluran kontrol (C2) dan protokol alternatif.
Rekomendasi perlindungan: Penggunaan sistem IDS / IPS dengan analisis lalu lintas berbasis tanda tangan. Sebagai tindakan untuk mendeteksi aktivitas berbahaya, disarankan untuk memantau model akses proses untuk file, dan proses dan skrip yang memindai sistem file dan kemudian mengirimkan lalu lintas jaringan. Koneksi jaringan ke alamat yang sama yang terjadi pada waktu yang sama dalam beberapa hari harus mencurigakan.