Exfiltração
O que é Exfiltração?
ExfiltraçãoTática MITRE ATT&CK (TA0010) que cobre técnicas usadas para transferir dados roubados da rede da vítima para um destino controlado pelo atacante.
Exfiltração (tática MITRE ATT&CK TA0010) reúne as técnicas usadas para retirar do ambiente da vítima os dados já recolhidos. Canais típicos: exfiltração sobre os mesmos protocolos de C2, transferência para serviços web como Dropbox, Mega ou destinos cloud via rclone, DNS tunneling, POSTs HTTPS para domínios controlados, transferências agendadas para se confundirem com o horário de expediente, e até suportes físicos. Os adversários limitam largura de banda, dividem os arquivos e usam TLS para dificultar a deteção. Os defensores recorrem a DLP, filtragem de egress, inspeção TLS no perímetro, monitorização de fluxos saídos anómalos, alertas sobre rclone/megacmd e controlos de identidade no armazenamento cloud. Na dupla extorsão por ransomware, a exfiltração precede frequentemente o cifrado.
● Exemplos
- 01
Usar o rclone para copiar um arquivo de vários gigabytes de documentos internos para uma conta Mega.io.
- 02
Exfiltrar segredos por DNS tunneling a partir de um segmento isolado usando consultas TXT longas.
● Perguntas frequentes
O que é Exfiltração?
Tática MITRE ATT&CK (TA0010) que cobre técnicas usadas para transferir dados roubados da rede da vítima para um destino controlado pelo atacante. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Exfiltração?
Tática MITRE ATT&CK (TA0010) que cobre técnicas usadas para transferir dados roubados da rede da vítima para um destino controlado pelo atacante.
Como funciona Exfiltração?
Exfiltração (tática MITRE ATT&CK TA0010) reúne as técnicas usadas para retirar do ambiente da vítima os dados já recolhidos. Canais típicos: exfiltração sobre os mesmos protocolos de C2, transferência para serviços web como Dropbox, Mega ou destinos cloud via rclone, DNS tunneling, POSTs HTTPS para domínios controlados, transferências agendadas para se confundirem com o horário de expediente, e até suportes físicos. Os adversários limitam largura de banda, dividem os arquivos e usam TLS para dificultar a deteção. Os defensores recorrem a DLP, filtragem de egress, inspeção TLS no perímetro, monitorização de fluxos saídos anómalos, alertas sobre rclone/megacmd e controlos de identidade no armazenamento cloud. Na dupla extorsão por ransomware, a exfiltração precede frequentemente o cifrado.
Como se defender contra Exfiltração?
As defesas contra Exfiltração costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Exfiltração?
Nomes alternativos comuns: Exfiltração de dados, TA0010.
● Termos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 199
Recolha (Tática MITRE)
Tática MITRE ATT&CK (TA0009) que cobre técnicas usadas para reunir informação de interesse antes de a exfiltrar.
- network-security№ 344
Tunelamento DNS
Canal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados.
- privacy№ 278
Prevenção de Perda de Dados (DLP)
Conjunto de tecnologias e políticas que detetam e bloqueiam a exfiltração não autorizada de dados sensíveis em endpoints, redes, e-mail e serviços cloud.
- malware№ 900
Ransomware
Malware que cifra os dados da vítima ou bloqueia sistemas e exige pagamento para restaurar o acesso.
- defense-ops№ 265
Cyber Kill Chain
Modelo em sete fases da Lockheed Martin que descreve como uma intrusão direcionada evolui do reconhecimento até as ações sobre os objetivos.
● Veja também
- № 275Violacao de dados