Collection (MITRE-Taktik)
Was ist Collection (MITRE-Taktik)?
Collection (MITRE-Taktik)MITRE-ATT&CK-Taktik (TA0009), die Techniken zum Sammeln und Stagen relevanter Daten vor der Exfiltration bündelt.
Collection (MITRE-ATT&CK-Taktik TA0009) bündelt Techniken, mit denen Angreifer wertvolle Daten identifizieren und für die Exfiltration vorbereiten. Dazu zählen Screen Capture, Keylogging, Clipboard Monitoring, Audio- und Video-Aufzeichnung, das Archivieren von Dateien auf lokalen und Netzlaufwerken, das Abgrasen von Postfächern in Microsoft 365 oder Google Workspace, automatisierte Collection-Skripte und der Zugriff auf Cloud-Storage-Buckets. Üblicherweise werden Daten in Staging-Archive (.zip, .rar, .7z) in Temp-Verzeichnissen komprimiert und verschlüsselt, um Bandbreite zu schonen und DLP-Signaturen zu umgehen. Verteidiger erkennen Collection durch DLP-Regeln, Mailbox-Audit-Logs, anomale Dateizugriffsmuster, das Anlegen großer lokaler Archive, EDR-Erkennungen für Screen-Capture- und Keylogger-APIs sowie Honey Files.
● Beispiele
- 01
Ein Angreifer packt alle .docx- und .xlsx-Dateien eines Finance-Shares in ein Archiv unter C:\Users\Public\.
- 02
Aktivieren von Postfach-Weiterleitungsregeln in M365, um E-Mails von Führungskräften an eine externe Adresse abzuziehen.
● Häufige Fragen
Was ist Collection (MITRE-Taktik)?
MITRE-ATT&CK-Taktik (TA0009), die Techniken zum Sammeln und Stagen relevanter Daten vor der Exfiltration bündelt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Collection (MITRE-Taktik)?
MITRE-ATT&CK-Taktik (TA0009), die Techniken zum Sammeln und Stagen relevanter Daten vor der Exfiltration bündelt.
Wie funktioniert Collection (MITRE-Taktik)?
Collection (MITRE-ATT&CK-Taktik TA0009) bündelt Techniken, mit denen Angreifer wertvolle Daten identifizieren und für die Exfiltration vorbereiten. Dazu zählen Screen Capture, Keylogging, Clipboard Monitoring, Audio- und Video-Aufzeichnung, das Archivieren von Dateien auf lokalen und Netzlaufwerken, das Abgrasen von Postfächern in Microsoft 365 oder Google Workspace, automatisierte Collection-Skripte und der Zugriff auf Cloud-Storage-Buckets. Üblicherweise werden Daten in Staging-Archive (.zip, .rar, .7z) in Temp-Verzeichnissen komprimiert und verschlüsselt, um Bandbreite zu schonen und DLP-Signaturen zu umgehen. Verteidiger erkennen Collection durch DLP-Regeln, Mailbox-Audit-Logs, anomale Dateizugriffsmuster, das Anlegen großer lokaler Archive, EDR-Erkennungen für Screen-Capture- und Keylogger-APIs sowie Honey Files.
Wie schützt man sich gegen Collection (MITRE-Taktik)?
Schutzmaßnahmen gegen Collection (MITRE-Taktik) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Collection (MITRE-Taktik)?
Übliche alternative Bezeichnungen: Daten-Staging, TA0009.
● Verwandte Begriffe
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 398
Exfiltration
MITRE-ATT&CK-Taktik (TA0010), die Techniken zum Abtransport gestohlener Daten aus dem Opfernetz an einen vom Angreifer kontrollierten Ort bündelt.
- malware№ 590
Keylogger
Software oder Hardware, die Tastatureingaben aufzeichnet, um Passwörter, Finanzdaten oder Nachrichten zu stehlen.
- privacy№ 278
Data Loss Prevention (DLP)
Technologien und Richtlinien, die unbefugte Abflüsse sensibler Daten auf Endpunkten, im Netzwerk, in E-Mails und in Cloud-Diensten erkennen und blockieren.
- defense-ops№ 265
Cyber Kill Chain
Siebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.
- malware№ 1083
Spyware
Schadsoftware, die heimlich Informationen über einen Nutzer, ein Gerät oder eine Organisation sammelt und an eine externe Stelle sendet.