MITRE ATT&CK - Техника Эксфильтрация через веб-службу

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Эксфильтрация через веб-службу

Sub-techniques (2)

ID	Name
.001	Эксфильтрация в репозиторий кода
.002	Эксфильтрация в облачное хранилище

Adversaries may use an existing, legitimate external Web service to exfiltrate data rather than their primary command and control channel. Popular Web services acting as an exfiltration mechanism may give a significant amount of cover due to the likelihood that hosts within a network are already communicating with them prior to compromise. Firewall rules may also already exist to permit traffic to these services. Web service providers also commonly use SSL/TLS encryption, giving adversaries an added level of protection.

ID: T1567

Суб-техники: .001 .002

Тактика(-и): Exfiltration

Платформы: Linux, macOS, Windows

Источники данных: Command: Command Execution, File: File Access, Network Traffic: Network Connection Creation, Network Traffic: Network Traffic Content, Network Traffic: Network Traffic Flow

Версия: 1.2

Дата создания: 09 Mar 2020

Последнее изменение: 19 Oct 2022

Название	Описание
Примеры процедур
APT28	APT28 can exfiltrate data over Google Drive.(Citation: TrendMicro Pawn Storm Dec 2020)
DropBook	DropBook has used legitimate web services to exfiltrate data.(Citation: BleepingComputer Molerats Dec 2020)
AppleSeed	AppleSeed has exfiltrated files using web services.(Citation: KISA Operation Muzabi)
Ngrok	Ngrok has been used by threat actors to configure servers for data exfiltration.(Citation: MalwareBytes Ngrok February 2020)

Контрмера	Описание
Контрмеры
Restrict Web-Based Content	Restrict use of certain websites, block downloads/attachments, block Javascript, restrict browser extensions, etc.
Data Loss Prevention	Use a data loss prevention (DLP) strategy to categorize sensitive data, identify data formats indicative of personal identifiable information (PII), and restrict exfiltration of sensitive data.(Citation: PurpleSec Data Loss Prevention)

Обнаружение

Analyze network data for uncommon data flows (e.g., a client sending significantly more data than it receives from a server). Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious. User behavior monitoring may help to detect abnormal patterns of activity.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.