Exfiltration
Was ist Exfiltration?
ExfiltrationMITRE-ATT&CK-Taktik (TA0010), die Techniken zum Abtransport gestohlener Daten aus dem Opfernetz an einen vom Angreifer kontrollierten Ort bündelt.
Exfiltration (MITRE-ATT&CK-Taktik TA0010) umfasst Techniken, mit denen die zuvor gesammelten Daten aus der Opferumgebung abtransportiert werden. Üblich sind Exfiltration über C2-Protokolle, Übertragung zu Webdiensten wie Dropbox, Mega oder rclone-Zielen in der Cloud, DNS-Tunneling, HTTPS-POSTs an Angreifer-Domains, geplante Übertragungen während der Geschäftszeiten und sogar physische Medien. Angreifer drosseln Bandbreite, stückeln Archive und nutzen TLS, um Erkennung zu erschweren. Verteidiger setzen DLP, Egress-Filterung, perimeternahe TLS-Inspection, Monitoring auffälliger ausgehender Flüsse, Alerts auf rclone/megacmd und identitätsbasierte Kontrollen für Cloud-Speicher ein. Bei Double-Extortion-Ransomware geht Exfiltration der Verschlüsselung häufig voraus.
● Beispiele
- 01
Verwendung von rclone, um ein mehrere Gigabyte großes Archiv interner Dokumente in einen Mega.io-Account zu kopieren.
- 02
DNS-Tunneling von Geheimnissen aus einem abgeschotteten Segment über lange TXT-Abfragen.
● Häufige Fragen
Was ist Exfiltration?
MITRE-ATT&CK-Taktik (TA0010), die Techniken zum Abtransport gestohlener Daten aus dem Opfernetz an einen vom Angreifer kontrollierten Ort bündelt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Exfiltration?
MITRE-ATT&CK-Taktik (TA0010), die Techniken zum Abtransport gestohlener Daten aus dem Opfernetz an einen vom Angreifer kontrollierten Ort bündelt.
Wie funktioniert Exfiltration?
Exfiltration (MITRE-ATT&CK-Taktik TA0010) umfasst Techniken, mit denen die zuvor gesammelten Daten aus der Opferumgebung abtransportiert werden. Üblich sind Exfiltration über C2-Protokolle, Übertragung zu Webdiensten wie Dropbox, Mega oder rclone-Zielen in der Cloud, DNS-Tunneling, HTTPS-POSTs an Angreifer-Domains, geplante Übertragungen während der Geschäftszeiten und sogar physische Medien. Angreifer drosseln Bandbreite, stückeln Archive und nutzen TLS, um Erkennung zu erschweren. Verteidiger setzen DLP, Egress-Filterung, perimeternahe TLS-Inspection, Monitoring auffälliger ausgehender Flüsse, Alerts auf rclone/megacmd und identitätsbasierte Kontrollen für Cloud-Speicher ein. Bei Double-Extortion-Ransomware geht Exfiltration der Verschlüsselung häufig voraus.
Wie schützt man sich gegen Exfiltration?
Schutzmaßnahmen gegen Exfiltration kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Exfiltration?
Übliche alternative Bezeichnungen: Datendiebstahl, TA0010.
● Verwandte Begriffe
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 199
Collection (MITRE-Taktik)
MITRE-ATT&CK-Taktik (TA0009), die Techniken zum Sammeln und Stagen relevanter Daten vor der Exfiltration bündelt.
- network-security№ 344
DNS-Tunneling
Verdeckter Kanal, der beliebige Daten in DNS-Abfragen und -Antworten auf UDP/TCP-Port 53 kodiert und haufig fur Command-and-Control sowie Datenexfiltration genutzt wird.
- privacy№ 278
Data Loss Prevention (DLP)
Technologien und Richtlinien, die unbefugte Abflüsse sensibler Daten auf Endpunkten, im Netzwerk, in E-Mails und in Cloud-Diensten erkennen und blockieren.
- malware№ 900
Ransomware
Schadsoftware, die Daten des Opfers verschlüsselt oder Systeme sperrt und für die Wiederherstellung des Zugriffs ein Lösegeld fordert.
- defense-ops№ 265
Cyber Kill Chain
Siebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.