链接到所有部分:第1部分。获得初始访问权限(Initial Access)第2部分。执行第3部分。紧固(持久性)第4部分。特权提升第5部分。逃避防御第6部分。获取凭据(凭据访问)第7部分。发现第8部分。横向运动第9部分。数据收集(Collection)第十部分渗透第11部分。命令和控制ATT&CK Enterprise Tactics的这一部分介绍了网络犯罪分子/恶意软件用来从受感染系统中删除/窃取/泄漏目标信息的数据传输技术。
对于使用本文中阐述的信息可能造成的后果,作者概不负责,对于某些表述和术语可能存在的不准确性,我们深表歉意。 发布的信息是对MITER ATT&CK内容的免费转载。系统: Windows,Linux,macOS
描述:在收集目标信息之后或期间,可以使用自动化信息处理工具和脚本来执行包含机密信息的数据泄露。 与自动渗透的手段一起,通过控制通道(C2)或其他协议进行的渗透方法也可以应用于通过网络传输数据。
保护建议:使用应用程序白名单工具(例如AppLocker或软件限制策略)来识别和阻止潜在危险和恶意软件。
系统: Windows,Linux,macOS
描述:为了减少数据量,对手可以压缩收集的目标数据以进行渗透。 使用用户软件,压缩算法或公共库/实用程序(例如7zip,RAR,ZIP或zlib)在传输通道外部执行压缩。
保护建议:为了绕过IPS或DLP(阻止某种类型的文件或包含某些头的文件通过未加密的通信通道进行传输),攻击者可以切换到渗漏通道的加密。 可以通过监视与调用众所周知的数据压缩实用程序有关的过程和命令行参数来预先检测压缩软件和压缩文件,但是这种方法涉及分析大量错误事件。
系统: Windows,Linux,macOS
描述:在渗透之前,可以对目标数据进行加密,以便隐藏被盗的信息,避免检测或使过程不太引人注意。 加密是使用实用程序,库或用户算法执行的,并且是在控制通道(C2)和文件传输协议之外执行的。 支持数据加密的常见存档格式是RAR和zip。
保护建议:可以通过监视进程和命令行参数来检测是否启动了知名的文件加密软件,但是此方法涉及分析大量错误事件。 攻击者可以使用加载Windows DLL crypt.32.dll的进程执行加密,解密或验证文件签名。 可以通过分析网络流量的熵来识别加密数据传输的事实。 如果通道未加密,则IDS或DLP系统可以通过分析文件头来检测已知类型的文件传输。
系统: Windows,Linux,macOS
描述:为了躲避保护工具以及关于超出网络上允许的数据传输阈值的可能警告,攻击者可以将被盗文件分解为相同大小的多个片段,或者将网络数据包的大小限制为阈值以下。
保护建议: IDS和DLP使用基于签名的流量分析,只能用于检测和阻止已知的特定控制和监视工具(C2)和恶意程序,因此,攻击者很可能会随时间更改使用的工具或配置数据传输协议,以便避免通过他已知的保护手段进行侦查。
作为一种检测技术,建议分析网络流量中是否存在异常数据流(例如,客户端发送的数据明显多于从服务器接收的数据)。 恶意进程可能会长时间维持连接,从而顺序发送固定大小的数据包,或者打开连接并以固定的时间间隔传输数据。 通常不使用网络的进程的这种活动应该是可疑的。 数据传输所使用的端口号与网络协议中默认设置的端口号不一致也可能表示恶意活动。
系统: Windows,Linux,macOS
描述:数据泄露通常是根据替代协议执行的,该协议不同于对手用来组织控制渠道(C2)的协议。 替代协议包括FTP,SMTP,HTTP / S,DNS和其他网络协议,以及外部Web服务(如云存储)。
保护建议
:请遵循有关配置防火墙的建议,将来自网络的流量的进入和出口限制为仅允许的端口。 例如,如果您不使用FTP服务在网络外部发送信息,则在网络外围阻止与FTP协议关联的端口。 为了减少组织控制通道和渗透的可能性,请使用代理服务器和专用服务器来提供DNS等服务,并允许系统仅通过适当的端口和协议进行通信。
为了检测和防止组织控制信道和泄露数据的已知方法,请使用IDS / IPS系统,该系统使用基于签名的流量分析。 但是,攻击者可能会随时间更改控制和渗透协议,以避免被安全工具检测到。
作为一种检测技术,还建议分析网络流量中是否存在异常数据流(例如,客户端发送的数据明显多于从服务器接收的数据)。 使用的端口号和默认网络协议中设置的端口号之间的不一致也可能表示恶意活动。
系统: Windows,Linux,macOS
描述:数据泄露可以根据攻击者用作控制通道(C2)的相同协议进行。
保护建议:使用IDS / IPS系统来组织流量签名分析,以识别已知的组织控制通道和渗透的方法。 分析流量中是否存在异常数据流(例如,客户端发送的数据明显多于从服务器接收的数据)。 使用的端口号和默认网络协议中设置的端口号之间的不一致也可能表示恶意活动。
系统: Windows,Linux,macOS
描述:数据泄露可能发生在与组织控制通道(C2)的环境不同的网络环境中。 如果控制通道使用有线Internet连接,则可以通过无线连接(WiFi,蜂窝网络,蓝牙连接或其他无线电通道)进行渗透。 如果存在可访问性和邻近性,则对手将使用备用数据传输介质,因为其中的流量不会通过受攻击的公司网络进行路由,并且网络连接可以是安全的或开放的。
保护建议:确保主机安全传感器支持所有网络适配器的审核,并在可能的情况下防止连接新的适配器。 跟踪和分析与添加或复制网络接口有关的网络适配器设置的更改。
系统: Windows,Linux,macOS
描述:在某些情况下,例如对受感染网络的物理隔离,渗透可能会通过物理介质或用户连接的设备发生。 此类介质可以是外部硬盘驱动器,USB驱动器,手机,mp3播放器或任何其他用于存储或处理信息的可移动设备。 攻击者可以将物理介质或设备用作渗透的终点,也可以将其用作隔离系统之间的过渡。
保护建议:禁用可移动存储设备的自动运行。 如果业务运营不需要可移动设备,则在组织的安全策略级别上禁止或限制其使用。
作为检测通过物理环境渗透的一种措施,建议组织对可移动介质上文件访问的监视,以及对连接可移动介质时启动的过程的审核。
系统: Windows,Linux,macOS
说明:只能在一天的特定时间或特定时间间隔执行数据渗漏。 这种计划用于将泄漏的数据与网络上的正常流量混合。 当使用计划的渗透时,还使用其他信息泄漏方法,例如通过控制通道(C2)和替代协议进行渗透。
保护建议:将IDS / IPS系统与基于签名的流量分析结合使用。 作为检测恶意活动的措施,建议监视文件的进程访问模型以及扫描文件系统然后发送网络流量的进程和脚本。 在几天的同一时间发生的到同一地址的网络连接应该是可疑的。