Collecte (tactique MITRE)
Qu'est-ce que Collecte (tactique MITRE) ?
Collecte (tactique MITRE)Tactique MITRE ATT&CK (TA0009) couvrant les techniques utilisées pour rassembler des informations d'intérêt avant de les exfiltrer.
La collecte (tactique MITRE ATT&CK TA0009) regroupe les techniques utilisées par l'attaquant pour repérer et préparer les données de valeur avant l'exfiltration. On y trouve la capture d'écran, le keylogging, la surveillance du presse-papiers, la capture audio/vidéo, l'archivage de fichiers locaux et réseau, la moisson de boîtes mail dans Microsoft 365 ou Google Workspace, des scripts de collecte automatisée et l'accès aux buckets de stockage cloud. L'adversaire compresse et chiffre généralement les données dans des archives de staging (.zip, .rar, .7z) placées dans des répertoires temporaires pour limiter la bande passante et contourner les signatures DLP. Les défenseurs détectent la collecte via les règles DLP, les logs d'audit de boîtes mail, les motifs d'accès aux fichiers, la création de grosses archives locales, des détections EDR sur les APIs de capture d'écran et de keylogger, et des fichiers leurres.
● Exemples
- 01
Un attaquant compresse tous les .docx et .xlsx d'un partage finance dans une seule archive sous C:\Users\Public\.
- 02
Activer des règles de transfert de boîte mail dans M365 pour exfiltrer les e-mails de dirigeants vers une adresse externe.
● Questions fréquentes
Qu'est-ce que Collecte (tactique MITRE) ?
Tactique MITRE ATT&CK (TA0009) couvrant les techniques utilisées pour rassembler des informations d'intérêt avant de les exfiltrer. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Collecte (tactique MITRE) ?
Tactique MITRE ATT&CK (TA0009) couvrant les techniques utilisées pour rassembler des informations d'intérêt avant de les exfiltrer.
Comment fonctionne Collecte (tactique MITRE) ?
La collecte (tactique MITRE ATT&CK TA0009) regroupe les techniques utilisées par l'attaquant pour repérer et préparer les données de valeur avant l'exfiltration. On y trouve la capture d'écran, le keylogging, la surveillance du presse-papiers, la capture audio/vidéo, l'archivage de fichiers locaux et réseau, la moisson de boîtes mail dans Microsoft 365 ou Google Workspace, des scripts de collecte automatisée et l'accès aux buckets de stockage cloud. L'adversaire compresse et chiffre généralement les données dans des archives de staging (.zip, .rar, .7z) placées dans des répertoires temporaires pour limiter la bande passante et contourner les signatures DLP. Les défenseurs détectent la collecte via les règles DLP, les logs d'audit de boîtes mail, les motifs d'accès aux fichiers, la création de grosses archives locales, des détections EDR sur les APIs de capture d'écran et de keylogger, et des fichiers leurres.
Comment se défendre contre Collecte (tactique MITRE) ?
Les défenses contre Collecte (tactique MITRE) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Collecte (tactique MITRE) ?
Noms alternatifs courants : Staging de données, TA0009.
● Termes liés
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 398
Exfiltration
Tactique MITRE ATT&CK (TA0010) couvrant les techniques utilisées pour transférer les données volées du réseau victime vers un emplacement contrôlé par l'attaquant.
- malware№ 590
Enregistreur de frappe (keylogger)
Logiciel ou matériel qui enregistre les touches frappées par un utilisateur, employé pour voler mots de passe, données financières ou messages.
- privacy№ 278
Prévention des pertes de données (DLP)
Ensemble de technologies et de politiques qui détectent et bloquent l'exfiltration non autorisée de données sensibles sur les postes, le réseau, la messagerie et le cloud.
- defense-ops№ 265
Cyber Kill Chain
Modèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.
- malware№ 1083
Logiciel espion
Logiciel malveillant qui collecte secrètement des informations sur un utilisateur, un appareil ou une organisation et les envoie à un tiers.