Эксфильтрация
Что такое Эксфильтрация?
ЭксфильтрацияТактика MITRE ATT&CK (TA0010), охватывающая техники передачи украденных данных из сети жертвы в место, контролируемое атакующим.
Эксфильтрация (тактика MITRE ATT&CK TA0010) объединяет техники вывоза собранных данных за пределы среды жертвы. Распространённые каналы: эксфильтрация поверх C2-протоколов, передача через веб-сервисы (Dropbox, Mega, цели rclone в облаке), DNS-туннелирование, HTTPS-POST на подконтрольные домены, плановые передачи, маскирующиеся под рабочее время, и физические носители. Атакующие ограничивают полосу, делят архивы и используют TLS, чтобы затруднить обнаружение. Защитники применяют DLP, фильтрацию egress, TLS-инспекцию на периметре, мониторинг аномального исходящего трафика, оповещения на бинарники rclone/megacmd и идентификационные контроли облачных хранилищ. При двойном вымогательстве эксфильтрация часто предшествует шифрованию для усиления давления.
● Примеры
- 01
Использование rclone для копирования многогигабайтного архива внутренних документов в аккаунт Mega.io.
- 02
DNS-туннелирование секретов из изолированного сегмента через длинные TXT-запросы.
● Частые вопросы
Что такое Эксфильтрация?
Тактика MITRE ATT&CK (TA0010), охватывающая техники передачи украденных данных из сети жертвы в место, контролируемое атакующим. Относится к категории Защита и операции в кибербезопасности.
Что означает Эксфильтрация?
Тактика MITRE ATT&CK (TA0010), охватывающая техники передачи украденных данных из сети жертвы в место, контролируемое атакующим.
Как работает Эксфильтрация?
Эксфильтрация (тактика MITRE ATT&CK TA0010) объединяет техники вывоза собранных данных за пределы среды жертвы. Распространённые каналы: эксфильтрация поверх C2-протоколов, передача через веб-сервисы (Dropbox, Mega, цели rclone в облаке), DNS-туннелирование, HTTPS-POST на подконтрольные домены, плановые передачи, маскирующиеся под рабочее время, и физические носители. Атакующие ограничивают полосу, делят архивы и используют TLS, чтобы затруднить обнаружение. Защитники применяют DLP, фильтрацию egress, TLS-инспекцию на периметре, мониторинг аномального исходящего трафика, оповещения на бинарники rclone/megacmd и идентификационные контроли облачных хранилищ. При двойном вымогательстве эксфильтрация часто предшествует шифрованию для усиления давления.
Как защититься от Эксфильтрация?
Защита от Эксфильтрация обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Эксфильтрация?
Распространённые альтернативные названия: Вывоз данных, TA0010.
● Связанные термины
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 199
Сбор данных (Collection, тактика MITRE)
Тактика MITRE ATT&CK (TA0009), охватывающая техники сбора интересующей информации перед её эксфильтрацией.
- network-security№ 344
DNS-туннелирование
Скрытый канал, кодирующий произвольные данные в DNS-запросах и ответах на UDP/TCP-порту 53; часто используется для C2 и эксфильтрации.
- privacy№ 278
Предотвращение утечек данных (DLP)
Набор технологий и политик, которые обнаруживают и блокируют несанкционированный вывод конфиденциальных данных через рабочие станции, сети, почту и облака.
- malware№ 900
Программа-вымогатель
Вредоносное ПО, которое шифрует данные жертвы или блокирует системы и требует выкуп за восстановление доступа.
- defense-ops№ 265
Cyber Kill Chain
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.