Links para todas as partes:Parte 1. Obtendo Acesso Inicial (Acesso Inicial)Parte 2. ExecuçãoParte 3. Fixação (Persistência)Parte 4. Escalonamento de PrivilégiosParte 5. Evasão de DefesaParte 6. Obtendo credenciais (acesso a credenciais)Parte 7. DescobertaParte 8. Movimento LateralParte 9. Coleta de Dados (Coleção)Parte 10 ExfiltraçãoParte 11. Comando e ControleEsta seção do ATT & CK Enterprise Tactics descreve as técnicas de transferência de dados usadas pelos cibercriminosos / malware para remover / roubar / vazar informações direcionadas de um sistema comprometido.
O autor não é responsável pelas possíveis consequências da aplicação das informações contidas no artigo e também se desculpa por possíveis imprecisões feitas em algumas formulações e termos. As informações publicadas são uma recontagem gratuita do conteúdo do MITRE ATT & CK .Sistema: Windows, Linux, macOS
Descrição: a exfiltração de dados contendo informações confidenciais pode ser realizada usando ferramentas e scripts automatizados de processamento de informações após ou durante a coleta de informações de destino. Juntamente com os meios de automação da exfiltração, métodos de exfiltração através do canal de controle (C2) ou um protocolo alternativo também podem ser aplicados para transmitir dados pela rede.
Recomendações de proteção: identifique e bloqueie softwares potencialmente perigosos e mal-intencionados usando ferramentas de lista de permissões de aplicativos, como AppLocker ou Políticas de Restrição de Software.
Sistema: Windows, Linux, macOS
Descrição: para reduzir a quantidade de dados, o adversário pode compactar os dados de destino coletados para a exfiltração. A compactação é realizada fora do canal de transmissão usando o software do usuário, um algoritmo de compactação ou uma biblioteca / utilitário comum, como 7zip, RAR, ZIP ou zlib.
Recomendações de proteção: para ignorar o IPS ou o DLP, que bloqueiam a transmissão de arquivos de um determinado tipo ou que contêm um determinado cabeçalho por canais de comunicação não criptografados, um invasor pode mudar para a criptografia de um canal de exfiltração. O software de compactação e os arquivos compactados podem ser detectados antecipadamente, monitorando processos e argumentos de linha de comando relacionados à chamada de utilitários de compactação de dados conhecidos, mas essa abordagem envolve a análise de um grande número de eventos falsos.
Sistema: Windows, Linux, macOS
Descrição: antes da exfiltração, os dados de destino podem ser criptografados para ocultar as informações roubadas, escapar da detecção ou tornar o processo menos perceptível. A criptografia é realizada usando um utilitário, biblioteca ou algoritmo do usuário e é realizada fora do canal de controle (C2) e do protocolo de transferência de arquivos. Os formatos de arquivo comuns que suportam criptografia de dados são RAR e zip.
Recomendações de proteção: O lançamento de um software de criptografia de arquivos conhecido pode ser detectado pelo monitoramento de processos e argumentos da linha de comando, mas essa abordagem envolve a análise de um grande número de eventos falsos. Os processos que carregam a DLL do Windows crypt.32.dll podem ser usados por um adversário para executar criptografia, descriptografia ou verificar assinaturas de arquivos. A identificação do fato da transmissão de dados criptografados pode ser realizada analisando a entropia do tráfego da rede. Se o canal não estiver criptografado, as transferências de arquivos de tipos conhecidos poderão ser detectadas pelos sistemas IDS ou DLP, analisando os cabeçalhos dos arquivos.
Sistema: Windows, Linux, macOS
Descrição: para ocultar das ferramentas de proteção e possíveis avisos sobre exceder o limite permitido de dados transmitidos pela rede, um invasor pode dividir arquivos exfiltrados em muitos fragmentos do mesmo tamanho ou limitar o tamanho dos pacotes de rede abaixo do valor limite.
Recomendações de proteção: o IDS e o DLP, usando a análise de tráfego baseada em assinaturas, podem ser usados para detectar e bloquear apenas ferramentas específicas conhecidas de controle e monitoramento (C2) e programas maliciosos; portanto, o adversário provavelmente mudará as ferramentas usadas ao longo do tempo ou configurará o protocolo de transferência de dados para evitar a detecção por meio de proteção conhecida por ele.
Como técnica de detecção, recomenda-se analisar o tráfego da rede em busca de fluxos de dados incomuns (por exemplo, o cliente envia significativamente mais dados do que recebe do servidor). Um processo mal-intencionado pode manter uma conexão por muito tempo enviando pacotes de tamanho fixo sequencialmente ou abrir uma conexão e transferir dados em intervalos fixos. Essa atividade de processos que geralmente não usam a rede deve ser suspeita. A inconsistência do número da porta usada com a transferência de dados e o número da porta definido por padrão no protocolo de rede também pode indicar atividade maliciosa.
Sistema: Windows, Linux, macOS
Descrição: a exfiltração de dados, em geral, é realizada de acordo com um protocolo alternativo, diferente do protocolo utilizado pelo adversário para organizar um canal de controle (C2). Protocolos alternativos incluem FTP, SMTP, HTTP / S, DNS e outros protocolos de rede, além de serviços da Web externos, como armazenamento em nuvem.
Recomendações de
proteção: Siga as recomendações para configurar firewalls, restringindo a entrada e saída de tráfego da rede para apenas as portas permitidas. Por exemplo, se você não usar o serviço FTP para enviar informações para fora da rede, bloqueie as portas associadas ao protocolo FTP ao redor do perímetro da rede. Para reduzir a possibilidade de organizar um canal de controle e exfiltração, use servidores proxy e servidores dedicados para serviços como DNS e permita que os sistemas se comuniquem apenas através das portas e protocolos apropriados.
Para detectar e impedir métodos conhecidos de organizar um canal de controle e de filtrar dados, use sistemas IDS / IPS usando análise de tráfego baseada em assinatura. No entanto, é provável que os invasores alterem o protocolo de controle e exfiltração ao longo do tempo para evitar a detecção por ferramentas de segurança.
Como técnica de detecção, também é recomendável analisar o tráfego de rede em busca de fluxos de dados incomuns (por exemplo, o cliente envia significativamente mais dados do que recebe do servidor). A inconsistência entre o número da porta usada e o número da porta definido no protocolo de rede padrão também pode indicar atividade maliciosa.
Sistema: Windows, Linux, macOS
Descrição: a exfiltração de dados pode ser realizada de acordo com o mesmo protocolo usado por um invasor como um canal de controle (C2).
Recomendações de proteção: Use os sistemas IDS / IPS para organizar uma análise de assinatura do tráfego para identificar meios conhecidos de organizar um canal de controle e exfiltração. Analise o tráfego para fluxos de dados incomuns (por exemplo, o cliente envia significativamente mais dados do que recebe do servidor). A inconsistência entre o número da porta usada e o número da porta definido no protocolo de rede padrão também pode indicar atividade maliciosa.
Sistema: Windows, Linux, macOS
Descrição: a exfiltração de dados pode ocorrer em um ambiente de rede diferente do ambiente em que o canal de controle está organizado (C2). Se o canal de controle usar uma conexão com a Internet com fio, a exfiltração poderá ocorrer por meio de uma conexão sem fio - Wi-Fi, rede celular, conexão Bluetooth ou outro canal de rádio. Se houver acessibilidade e proximidade, o adversário usará um meio de transmissão de dados alternativo, pois o tráfego não será roteado pela rede corporativa atacada e a conexão de rede poderá ser segura ou aberta.
Recomendações de proteção: verifique se os sensores de segurança do host suportam a auditoria de todos os adaptadores de rede e, se possível, impedem a conexão de novos. Acompanhe e analise as alterações nas configurações do adaptador de rede relacionadas à adição ou replicação de interfaces de rede.
Sistema: Windows, Linux, macOS
Descrição: sob certas circunstâncias, como o isolamento físico de uma rede comprometida, a exfiltração pode ocorrer através da mídia física ou de um dispositivo conectado pelo usuário. Essas mídias podem ser um disco rígido externo, unidade USB, telefone celular, mp3 player ou qualquer outro dispositivo removível para armazenar ou processar informações. O meio ou dispositivo físico pode ser usado pelo adversário como o ponto final da exfiltração ou para transições entre sistemas isolados.
Recomendações de proteção: desative a execução automática de dispositivos de armazenamento removíveis. Proibir ou restringir o uso de dispositivos removíveis no nível da política de segurança da organização, se não forem necessários para operações comerciais.
Como medida para detectar a exfiltração pelo ambiente físico, recomenda-se organizar o monitoramento do acesso aos arquivos em mídia removível, bem como os processos de auditoria iniciados quando a mídia removível é conectada.
Sistema: Windows, Linux, macOS
Descrição: A exfiltração de dados pode ser realizada apenas em um determinado horário do dia ou em determinados intervalos. Esse planejamento é usado para misturar dados exfiltrados com tráfego normal na rede. Ao usar a exfiltração planejada, outros métodos de vazamento de informações também são usados, como a exfiltração pelo canal de controle (C2) e um protocolo alternativo.
Recomendações de proteção: Uso de sistemas IDS / IPS com análise de tráfego baseada em assinatura. Como medidas para detectar atividades maliciosas, é recomendável monitorar os modelos de acesso ao processo em busca de arquivos, processos e scripts que examinam o sistema de arquivos e enviam o tráfego de rede. As conexões de rede com o mesmo endereço que ocorrem na mesma hora do dia por vários dias devem ser suspeitas.