数据外传
攻击者试图将数据从目标网络中取出。
技术: 19
| 编号 | 名字 | 描述 |
|---|---|---|
| T1011 | 通过其他网络介质外传 | 对手可能会尝试通过与命令和控制通道不同的网络介质外传数据。如果命令和控制网络是有线互联网连接,则外传可能通过例如 WiFi 连接、调制解调器、蜂窝数据连接、蓝牙或其他射频 (RF) 通道进行。 如果对手有足够的访问权限或接近度,并且连接可能没有像主要互联网连接通道那样受到保护或防御,对手可能会选择这样做,因为它没有通过相同的企业网络路由。 |
| T1011.001 | 通过蓝牙外传 | 对手可能会尝试通过蓝牙而不是命令和控制通道外传数据。如果命令和控制网络是有线互联网连接,对手可能会选择使用蓝牙通信通道外传数据。 如果对手有足够的访问权限和接近度,他们可能会选择这样做。蓝牙连接可能没有像主要互联网连接通道那样受到保护或防御,因为它不通过相同的企业网络路由。 |
| T1020 | 自动化数据外传 | 对手可能会通过在收集期间收集的数据使用自动化处理来外传数据,例如敏感文档。(引用: ESET Gamaredon June 2020) 当使用自动化外传时,其他外传技术也可能适用,以将信息传出网络,例如通过C2通道外传和通过替代协议外传。 |
| T1020.001 | 流量复制 | 对手可能会利用流量镜像来自动化通过受损基础设施的数据外传。流量镜像是某些设备的本机功能,通常用于网络分析。例如,可以配置设备将网络流量转发到一个或多个目的地,以便网络分析仪或其他监控设备进行分析。(引用: Cisco Traffic Mirroring)(引用: Juniper Traffic Mirroring) 对手可能会滥用流量镜像来镜像或重定向网络流量通过他们控制的其他基础设施。通过ROMMONkit或补丁系统镜像可能实现对网络设备的恶意修改以启用流量重定向。(引用: US-CERT-TA18-106A)(引用: Cisco Blog Legacy Device Attacks) 许多基于云的环境也支持流量镜像。例如,AWS流量镜像、GCP数据包镜像和Azure vTap允许用户定义指定的实例以收集流量,并将收集的流量发送到指定的目标。(引用: AWS Traffic Mirroring)(引用: GCP Packet Mirroring)(引用: Azure Virtual Network TAP) 对手可能会将流量复制与网络嗅探、输入捕获或中间人攻击结合使用,具体取决于对手的目标和目的。 |
| T1029 | 计划传输 | 对手可能会安排数据外传仅在一天中的某些时间或某些间隔进行。这可以用来将流量模式与正常活动或可用性混合。 当使用计划外传时,可能还会应用其他外传技术将信息传出网络,例如通过C2通道外传或通过替代协议外传。 |
| T1030 | 数据传输大小限制 | 对手可能会将数据以固定大小的块而不是整个文件进行外传,或将数据包大小限制在某些阈值以下。这种方法可能用于避免触发网络数据传输阈值警报。 |
| T1041 | 通过C2通道外传 | 对手可能通过现有的命令和控制通道窃取数据。被盗数据被编码到正常的通信通道中,使用与命令和控制通信相同的协议。 |
| T1048 | 通过替代协议外传 | 对手可能通过不同于现有命令和控制通道的协议窃取数据。数据也可能被发送到与主命令和控制服务器不同的网络位置。 替代协议包括FTP、SMTP、HTTP/S、DNS、SMB或任何其他未用作主命令和控制通道的网络协议。对手还可能选择加密和/或混淆这些替代通道。 通过替代协议外传可以使用各种常见的操作系统实用程序完成,例如Net/SMB或FTP。(引用: Palo Alto OilRig Oct 2016) 在macOS和Linux上,curl可以用于调用HTTP/S或FTP/S等协议,以从系统中外传数据。(引用: 20 macOS Common Tools and Techniques) 许多IaaS和SaaS平台(如Microsoft Exchange、Microsoft SharePoint、GitHub和AWS S3)支持通过Web控制台或云API直接下载文件、电子邮件、源代码和其他敏感信息。 |
| T1048.001 | 通过对称加密的非C2协议外传 | 对手可能会通过对称加密的网络协议(而不是现有的命令和控制通道)外传数据。数据也可能被发送到与主命令和控制服务器不同的网络位置。 对称加密算法是指在通道的每一端使用共享或相同密钥/秘密的算法。这需要交换或预先安排/持有用于加密和解密数据的值。 使用非对称加密的网络协议通常在密钥交换后使用对称加密,但对手可能会选择手动共享密钥并实现对称加密算法(例如:RC4、AES),而不是使用协议中内置的机制。这可能导致多层加密(在本质上已加密的协议中,例如 HTTPS)或在通常不加密的协议中(例如 HTTP 或 FTP)进行加密。 |
| T1048.002 | 通过非C2协议的非对称加密外传 | 对手可能通过非现有命令和控制通道的非对称加密网络协议外传数据。数据也可能被发送到与主命令和控制服务器不同的网络位置。 非对称加密算法是指在通道的每一端使用不同密钥的算法。也称为公钥加密,这需要成对的加密密钥,可以使用相应的密钥加密/解密数据。每个通信通道的端点都需要一个私钥(仅在该实体的控制下)和另一个实体的公钥。在加密通信开始之前,交换每个实体的公钥。 使用非对称加密的网络协议(如HTTPS/TLS/SSL)通常在密钥交换后使用对称加密。对手可能选择使用这些内置于协议中的加密机制。 |
| T1048.003 | 通过未加密的非C2协议外泄 | 对手可能通过未加密的网络协议(而不是现有的命令和控制通道)外泄数据。数据也可能被发送到与主要命令和控制服务器不同的网络位置。(引用: copy_cmd_cisco) 对手可能选择在本地未加密的网络协议(如HTTP、FTP或DNS)中混淆这些数据,而不使用加密。这可能包括自定义或公开可用的编码/压缩算法(如base64)以及在协议头和字段中嵌入数据。 |
| T1052 | 通过物理介质外泄 | 攻击者可能会尝试通过物理介质(如可移动驱动器)外泄数据。在某些情况下,例如隔离网络被攻破,外泄可能通过用户引入的物理介质或设备发生。此类介质可能是外部硬盘、USB驱动器、手机、MP3播放器或其他可移动存储和处理设备。物理介质或设备可用作最终外泄点或在其他断开的系统之间跳跃。 |
| T1052.001 | 通过USB外传 | 对手可能尝试通过USB连接的物理设备外传数据。在某些情况下,例如隔离网络妥协,外传可能通过用户引入的USB设备进行。USB设备可以用作最终的外传点或在其他断开连接的系统之间跳转。 |
| T1537 | 将数据传输到云账户 | 对手可能通过将数据传输到他们控制的同一服务上的另一个云账户来外传数据,包括通过共享/同步和创建云环境的备份。 监控正常文件传输或通过命令和控制通道进行的大量传输的防御者可能不会关注在同一云提供商内的账户之间的数据传输。这些传输可能利用现有的云提供商 API 和云提供商的内部地址空间,以融入正常流量或避免通过外部网络接口的数据传输。(引用: TLDRSec AWS Attacks) 对手还可能使用云原生机制将受害者数据共享给对手控制的云账户,例如创建匿名文件共享链接或在 Azure 中创建共享访问签名 (SAS) URI。(引用: Microsoft Azure Storage Shared Access Signature) 已观察到的事件中,对手创建了云实例的备份并将其传输到单独的账户。(引用: DOJ GRU Indictment Jul 2018) |
| T1567 | 通过Web服务外泄 | 对手可能使用现有的合法外部Web服务来外泄数据,而不是他们的主要命令和控制通道。作为外泄机制的流行Web服务可能提供大量掩护,因为网络中的主机在被攻破之前可能已经在与它们通信。防火墙规则也可能已经存在,以允许这些服务的流量。 Web服务提供商通常也使用SSL/TLS加密,为对手提供了额外的保护。 |
| T1567.001 | 外传到代码库 | 对手可能会将数据外传到代码库,而不是通过其主要命令和控制通道。代码库通常可以通过 API 访问(例如:https://api.github.com)。访问这些 API 通常通过 HTTPS,这为对手提供了额外的保护。 将数据外传到代码库还可以为对手提供大量掩护,如果它是网络中主机已经使用的流行服务。 |
| T1567.002 | 外传到云存储 | 对手可能会将数据外传到云存储服务,而不是通过其主要命令和控制通道。云存储服务允许通过互联网从远程云存储服务器存储、编辑和检索数据。 云存储服务的示例包括Dropbox和Google Docs。如果网络中的主机已经在与服务通信,外传到这些云存储服务可以为对手提供大量掩护。 |
| T1567.003 | 外传到文本存储站点 | 对手可能会将数据外传到文本存储站点,而不是他们的主要命令和控制通道。文本存储站点,如pastebin[.]com,通常用于开发人员共享代码和其他信息。 文本存储站点通常用于托管用于C2通信的恶意代码(例如,阶段能力),但对手也可能使用这些站点来外传收集的数据。此外,付费功能和加密选项可能允许对手更安全地隐藏和存储数据。(引用: Pastebin EchoSec) 注意: 这与外传到代码存储库不同,后者强调通过API访问代码存储库。 |
| T1567.004 | 通过 Webhook 外传 | 对手可能会将数据外传到 webhook 端点,而不是通过其主要命令和控制通道。Webhook 是一种简单的机制,允许服务器通过 HTTP/S 将数据推送到客户端,而无需客户端不断轮询服务器。(引用: RedHat Webhooks) 许多公共和商业服务(如 Discord、Slack 和 webhook.site)支持创建 webhook 端点,这些端点可以被其他服务(如 Github、Jira 或 Trello)使用。(引用: Discord Intro to Webhooks) 当链接服务中发生更改时(例如推送存储库更新或修改票证),这些服务会自动将数据发布到 webhook 端点供消费应用程序使用。 对手可能会将对手拥有的环境链接到受害者拥有的 SaaS 服务,以实现重复的自动化外传电子邮件、聊天消息和其他数据。(引用: Push Security SaaS Attacks Repository Webhooks) 或者,对手可以手动将阶段性数据直接发布到 URL 以进行外传,而不是将 webhook 端点链接到服务。(引用: Microsoft SQL Server) 访问 webhook 端点通常通过 HTTPS 进行,这为对手提供了额外的保护级别。如果 webhook 端点指向常用的 SaaS 应用程序或协作服务,利用 webhook 进行的外传也可以与正常网络流量混合。(引用: CyberArk Labs Discord)(引用: Talos Discord Webhook Abuse)(引用: Checkmarx Webhooks) |