Exfiltration
Qu'est-ce que Exfiltration ?
ExfiltrationTactique MITRE ATT&CK (TA0010) couvrant les techniques utilisées pour transférer les données volées du réseau victime vers un emplacement contrôlé par l'attaquant.
L'exfiltration (tactique MITRE ATT&CK TA0010) regroupe les techniques utilisées pour sortir les données déjà collectées de l'environnement de la victime. On y trouve l'exfiltration via les protocoles C2, le transfert vers des services web (Dropbox, Mega, destinations cloud via rclone), le DNS tunneling, des POST HTTPS vers des domaines contrôlés, des transferts planifiés sur les heures ouvrables et même des supports physiques. Les adversaires limitent le débit, segmentent les archives et utilisent TLS pour compliquer la détection. Les défenseurs déploient DLP, filtrage egress, inspection TLS périmétrique, surveillance des flux sortants anormaux, alertes sur rclone/megacmd et contrôles d'identité sur le stockage cloud. Dans la double extorsion par rançongiciel, l'exfiltration précède souvent le chiffrement.
● Exemples
- 01
Utiliser rclone pour copier une archive de plusieurs gigaoctets de documents internes vers un compte Mega.io.
- 02
Exfiltrer des secrets en DNS tunneling depuis un segment isolé via de longues requêtes TXT.
● Questions fréquentes
Qu'est-ce que Exfiltration ?
Tactique MITRE ATT&CK (TA0010) couvrant les techniques utilisées pour transférer les données volées du réseau victime vers un emplacement contrôlé par l'attaquant. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Exfiltration ?
Tactique MITRE ATT&CK (TA0010) couvrant les techniques utilisées pour transférer les données volées du réseau victime vers un emplacement contrôlé par l'attaquant.
Comment fonctionne Exfiltration ?
L'exfiltration (tactique MITRE ATT&CK TA0010) regroupe les techniques utilisées pour sortir les données déjà collectées de l'environnement de la victime. On y trouve l'exfiltration via les protocoles C2, le transfert vers des services web (Dropbox, Mega, destinations cloud via rclone), le DNS tunneling, des POST HTTPS vers des domaines contrôlés, des transferts planifiés sur les heures ouvrables et même des supports physiques. Les adversaires limitent le débit, segmentent les archives et utilisent TLS pour compliquer la détection. Les défenseurs déploient DLP, filtrage egress, inspection TLS périmétrique, surveillance des flux sortants anormaux, alertes sur rclone/megacmd et contrôles d'identité sur le stockage cloud. Dans la double extorsion par rançongiciel, l'exfiltration précède souvent le chiffrement.
Comment se défendre contre Exfiltration ?
Les défenses contre Exfiltration combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Exfiltration ?
Noms alternatifs courants : Exfiltration de données, TA0010.
● Termes liés
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 199
Collecte (tactique MITRE)
Tactique MITRE ATT&CK (TA0009) couvrant les techniques utilisées pour rassembler des informations d'intérêt avant de les exfiltrer.
- network-security№ 344
Tunneling DNS
Canal cache qui encode des donnees arbitraires dans des requetes et reponses DNS sur UDP/TCP port 53, frequemment utilise pour le C2 et l'exfiltration de donnees.
- privacy№ 278
Prévention des pertes de données (DLP)
Ensemble de technologies et de politiques qui détectent et bloquent l'exfiltration non autorisée de données sensibles sur les postes, le réseau, la messagerie et le cloud.
- malware№ 900
Rançongiciel
Logiciel malveillant qui chiffre les données de la victime ou verrouille ses systèmes et exige une rançon pour rétablir l'accès.
- defense-ops№ 265
Cyber Kill Chain
Modèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.
● Voir aussi
- № 275Violation de donnees