Recolha (Tática MITRE)
O que é Recolha (Tática MITRE)?
Recolha (Tática MITRE)Tática MITRE ATT&CK (TA0009) que cobre técnicas usadas para reunir informação de interesse antes de a exfiltrar.
Recolha (tática MITRE ATT&CK TA0009) agrupa as técnicas com que o atacante localiza e prepara dados valiosos antes da exfiltração. Inclui capturas de ecrã, keylogging, monitorização do clipboard, captura de áudio e vídeo, arquivamento de ficheiros em discos locais e de rede, recolha de caixas de correio em Microsoft 365 ou Google Workspace, scripts de recolha automatizada e acesso a buckets de armazenamento cloud. Habitualmente, o adversário comprime e cifra os dados em arquivos de staging (.zip, .rar, .7z) em diretórios temporários para reduzir a largura de banda e iludir assinaturas DLP. Os defensores detetam a recolha através de regras DLP, logs de auditoria de caixas de correio, padrões anómalos de acesso a ficheiros, criação de grandes arquivos locais, deteções EDR em APIs de captura de ecrã e keylogger, e ficheiros engodo.
● Exemplos
- 01
Um atacante junta todos os .docx e .xlsx de uma partilha financeira num único arquivo em C:\Users\Public\.
- 02
Ativar regras de reencaminhamento de caixa de correio no M365 para extrair e-mails de executivos para um endereço externo.
● Perguntas frequentes
O que é Recolha (Tática MITRE)?
Tática MITRE ATT&CK (TA0009) que cobre técnicas usadas para reunir informação de interesse antes de a exfiltrar. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Recolha (Tática MITRE)?
Tática MITRE ATT&CK (TA0009) que cobre técnicas usadas para reunir informação de interesse antes de a exfiltrar.
Como funciona Recolha (Tática MITRE)?
Recolha (tática MITRE ATT&CK TA0009) agrupa as técnicas com que o atacante localiza e prepara dados valiosos antes da exfiltração. Inclui capturas de ecrã, keylogging, monitorização do clipboard, captura de áudio e vídeo, arquivamento de ficheiros em discos locais e de rede, recolha de caixas de correio em Microsoft 365 ou Google Workspace, scripts de recolha automatizada e acesso a buckets de armazenamento cloud. Habitualmente, o adversário comprime e cifra os dados em arquivos de staging (.zip, .rar, .7z) em diretórios temporários para reduzir a largura de banda e iludir assinaturas DLP. Os defensores detetam a recolha através de regras DLP, logs de auditoria de caixas de correio, padrões anómalos de acesso a ficheiros, criação de grandes arquivos locais, deteções EDR em APIs de captura de ecrã e keylogger, e ficheiros engodo.
Como se defender contra Recolha (Tática MITRE)?
As defesas contra Recolha (Tática MITRE) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Recolha (Tática MITRE)?
Nomes alternativos comuns: Staging de dados, TA0009.
● Termos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 398
Exfiltração
Tática MITRE ATT&CK (TA0010) que cobre técnicas usadas para transferir dados roubados da rede da vítima para um destino controlado pelo atacante.
- malware№ 590
Keylogger
Software ou hardware que regista as teclas premidas por um utilizador, usado para roubar palavras-passe, dados financeiros ou mensagens.
- privacy№ 278
Prevenção de Perda de Dados (DLP)
Conjunto de tecnologias e políticas que detetam e bloqueiam a exfiltração não autorizada de dados sensíveis em endpoints, redes, e-mail e serviços cloud.
- defense-ops№ 265
Cyber Kill Chain
Modelo em sete fases da Lockheed Martin que descreve como uma intrusão direcionada evolui do reconhecimento até as ações sobre os objetivos.
- malware№ 1083
Spyware
Malware que recolhe em segredo informação sobre um utilizador, dispositivo ou organização e a envia para terceiros.