数据外泄
数据外泄 是什么?
数据外泄MITRE ATT&CK 战术 TA0010,涵盖将被盗数据从受害者网络传送到攻击者控制位置的各种技术。
数据外泄(MITRE ATT&CK 战术 TA0010)汇集了将已收集的数据从受害者环境传送出去的技术。常见通道包括:沿用同一 C2 协议进行外发,将数据上传到 Dropbox、Mega 等网盘或通过 rclone 推送到云端;DNS 隧道;向攻击者域名发起 HTTPS POST;按业务时段调度传输以混入正常流量;甚至使用物理介质。攻击者会限速、分块,并使用 TLS 提高检测难度。防御者通过 DLP、出站流量过滤、边界 TLS 检查、对异常大量出站流量的监控、对 rclone/megacmd 等工具的告警以及对云存储的身份控制进行防护。在勒索软件的双重勒索中,数据外泄常发生在加密之前,以获取更大筹码。
● 示例
- 01
用 rclone 将数 GB 的内部文档压缩包复制到一个 Mega.io 账户。
- 02
通过冗长的 DNS TXT 查询,从隔离段中以 DNS 隧道方式外发机密。
● 常见问题
数据外泄 是什么?
MITRE ATT&CK 战术 TA0010,涵盖将被盗数据从受害者网络传送到攻击者控制位置的各种技术。 它属于网络安全的 防御与运营 分类。
数据外泄 是什么意思?
MITRE ATT&CK 战术 TA0010,涵盖将被盗数据从受害者网络传送到攻击者控制位置的各种技术。
数据外泄 是如何工作的?
数据外泄(MITRE ATT&CK 战术 TA0010)汇集了将已收集的数据从受害者环境传送出去的技术。常见通道包括:沿用同一 C2 协议进行外发,将数据上传到 Dropbox、Mega 等网盘或通过 rclone 推送到云端;DNS 隧道;向攻击者域名发起 HTTPS POST;按业务时段调度传输以混入正常流量;甚至使用物理介质。攻击者会限速、分块,并使用 TLS 提高检测难度。防御者通过 DLP、出站流量过滤、边界 TLS 检查、对异常大量出站流量的监控、对 rclone/megacmd 等工具的告警以及对云存储的身份控制进行防护。在勒索软件的双重勒索中,数据外泄常发生在加密之前,以获取更大筹码。
如何防御 数据外泄?
针对 数据外泄 的防御通常结合技术控制与运营实践,详见上方完整定义。
数据外泄 还有哪些其他名称?
常见的别称包括: 数据外发, TA0010。
● 相关术语
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 199
收集(MITRE 战术)
MITRE ATT&CK 战术 TA0009,涵盖在外发数据之前收集有价值信息的各种技术。
- network-security№ 344
DNS 隧道
通过将任意数据编码到 UDP/TCP 53 端口的 DNS 查询与响应中而形成的隐蔽通道,常用于命令控制和数据外泄。
- privacy№ 278
数据丢失防护 (DLP)
在终端、网络、邮件和云服务中检测并阻止敏感数据未经授权外泄的一组技术与策略。
- malware№ 900
勒索软件
对受害者数据进行加密或锁定系统,并要求支付赎金以恢复访问的恶意软件。
- defense-ops№ 265
网络杀伤链
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
● 参见
- № 275数据泄露事件