收集(MITRE 战术)
收集(MITRE 战术) 是什么?
收集(MITRE 战术)MITRE ATT&CK 战术 TA0009,涵盖在外发数据之前收集有价值信息的各种技术。
收集(MITRE ATT&CK 战术 TA0009)汇集了攻击者在外发数据之前定位并整理有价值数据的技术,包括屏幕截图、键盘记录、剪贴板监控、音视频采集、对本地与网络盘文件的打包、对 Microsoft 365 或 Google Workspace 邮箱的批量提取、自动化收集脚本以及访问云存储桶。攻击者通常会把数据压缩并加密成临时目录中的 staging 压缩包(.zip、.rar、.7z),以降低网络吞吐量并绕过 DLP 特征。防御者借助 DLP 规则、邮箱审计日志、异常的文件访问模式、本地大型压缩包的创建、针对截屏与键盘记录 API 的 EDR 检测,以及读取即报警的诱饵文件(honey file)来进行检测。
● 示例
- 01
攻击者把财务共享中的所有 .docx 与 .xlsx 文件打包到 C:\Users\Public\ 下的单一压缩包。
- 02
在 M365 中开启邮箱转发规则,将高管邮件转发到外部地址。
● 常见问题
收集(MITRE 战术) 是什么?
MITRE ATT&CK 战术 TA0009,涵盖在外发数据之前收集有价值信息的各种技术。 它属于网络安全的 防御与运营 分类。
收集(MITRE 战术) 是什么意思?
MITRE ATT&CK 战术 TA0009,涵盖在外发数据之前收集有价值信息的各种技术。
收集(MITRE 战术) 是如何工作的?
收集(MITRE ATT&CK 战术 TA0009)汇集了攻击者在外发数据之前定位并整理有价值数据的技术,包括屏幕截图、键盘记录、剪贴板监控、音视频采集、对本地与网络盘文件的打包、对 Microsoft 365 或 Google Workspace 邮箱的批量提取、自动化收集脚本以及访问云存储桶。攻击者通常会把数据压缩并加密成临时目录中的 staging 压缩包(.zip、.rar、.7z),以降低网络吞吐量并绕过 DLP 特征。防御者借助 DLP 规则、邮箱审计日志、异常的文件访问模式、本地大型压缩包的创建、针对截屏与键盘记录 API 的 EDR 检测,以及读取即报警的诱饵文件(honey file)来进行检测。
如何防御 收集(MITRE 战术)?
针对 收集(MITRE 战术) 的防御通常结合技术控制与运营实践,详见上方完整定义。
收集(MITRE 战术) 还有哪些其他名称?
常见的别称包括: 数据暂存, TA0009。
● 相关术语
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 398
数据外泄
MITRE ATT&CK 战术 TA0010,涵盖将被盗数据从受害者网络传送到攻击者控制位置的各种技术。
- malware№ 590
键盘记录器
记录用户按键的软件或硬件,常被用于窃取密码、金融数据或消息内容。
- privacy№ 278
数据丢失防护 (DLP)
在终端、网络、邮件和云服务中检测并阻止敏感数据未经授权外泄的一组技术与策略。
- defense-ops№ 265
网络杀伤链
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
- malware№ 1083
间谍软件
在用户不知情的情况下收集其与设备或组织信息、并将其发送给外部方的恶意软件。