漏出またはデータ漏洩
すべての部分へのリンク:
パート1.初期アクセスの取得(初期アクセス)
パート2.実行
パート3.固定(永続性)
パート4.特権エスカレーション
パート5.防衛回避
パート6.資格情報アクセスの取得(資格情報アクセス)
パート7.発見
パート8.横方向の動き
パート9.データ収集(コレクション)
パート10流出
パート11.コマンドとコントロール
ATT&CK Enterprise Tacticsのこのセクションでは、標的の情報を侵害されたシステムから削除/盗用/漏洩するためにサイバー犯罪者/マルウェアが使用するデータ転送技術について説明します。
著者は、記事に記載されている情報を適用することで生じる可能性のある結果について責任を負わず、また、いくつかの製剤や用語で行われた可能性のある不正確さについて謝罪します。 公開されている情報は、 MITRE ATT&CKの内容を無料で改ざんしたものです。
自動抽出
システム: Windows、Linux、macOS
説明:機密情報を含むデータの抽出は、ターゲット情報の収集後または収集中に、自動化された情報処理ツールとスクリプトを使用して実行できます。 抽出の自動化の手段とともに、制御チャネル(C2)または代替プロトコルを介したデータ転送を適用して、ネットワーク経由でデータを送信することもできます。
保護に関する推奨事項: AppLockerやソフトウェア制限ポリシーなどのアプリケーションホワイトリストツールを使用して、潜在的に危険で悪意のあるソフトウェアを特定してブロックします。
圧縮されたデータ
システム: Windows、Linux、macOS
説明:データ量を削減するために、攻撃者は、抽出のために収集されたターゲットデータを圧縮できます。 圧縮は、ユーザーソフトウェア、圧縮アルゴリズム、または7zip、RAR、ZIP、zlibなどの共通ライブラリ/ユーティリティを使用して、伝送チャネル外で実行されます。
保護に関する推奨事項:暗号化されていない通信チャネルで特定の種類のファイルや特定のヘッダーを含むファイルの転送をブロックするIPSまたはDLPをバイパスするために、攻撃者は流出チャネルの暗号化に切り替えることができます。 圧縮ソフトウェアと圧縮ファイルは、よく知られているデータ圧縮ユーティリティの呼び出しに関連するプロセスとコマンドライン引数を監視することで事前に検出できますが、このアプローチには多数の誤ったイベントの分析が含まれます。
暗号化されたデータ
システム: Windows、Linux、macOS
説明:情報を抽出する前に、盗まれた情報を隠したり、検出から逃れたり、プロセスを目立たなくするために、ターゲットデータを暗号化できます。 暗号化は、ユーティリティ、ライブラリ、またはユーザーアルゴリズムを使用して実行され、制御チャネル(C2)およびファイル転送プロトコルの外部で実行されます。 データ暗号化をサポートする一般的なアーカイブ形式は、RARとzipです。
セキュリティに関する推奨事項:よく知られているファイル暗号化ソフトウェアの起動は、プロセスとコマンドライン引数を監視することで検出できますが、このアプローチには多数の誤ったイベントの分析が含まれます。 攻撃者は、Windows DLL crypt.32.dllをロードするプロセスを使用して、暗号化、復号化、またはファイル署名の検証を行うことができます。 暗号化されたデータ送信の事実の識別は、ネットワークトラフィックのエントロピーを分析することで実行できます。 チャネルが暗号化されていない場合、ファイルヘッダーを分析するIDSまたはDLPシステムにより、既知のタイプのファイル転送を検出できます。
データ転送サイズの制限
システム: Windows、Linux、macOS
説明:保護ツールと、ネットワークを介して送信されるデータの許容しきい値を超える可能性のある警告から隠すために、攻撃者は、抽出されたファイルを同じサイズの多くのフラグメントに分割するか、ネットワークパケットのサイズをしきい値未満に制限できます。
保護に関する推奨事項: IDSおよびDLPは、シグネチャベースのトラフィック分析を使用して、既知の特定の制御および監視ツール(C2)および悪意のあるプログラムのみを検出およびブロックできるため、攻撃者は使用するツールを経時的に変更するか、データ転送プロトコルを構成する可能性が高い彼に知られている保護手段による検出を避けるため。
検出手法として、異常なデータストリームのネットワークトラフィックを分析することをお勧めします(たとえば、クライアントはサーバーから受信するよりもはるかに多くのデータを送信します)。 悪意のあるプロセスは、固定サイズのパケットを連続して長時間送信したり、接続を開いたり、一定の間隔でデータを転送したりして、長時間接続を維持できます。 通常ネットワークを使用しないプロセスのこのようなアクティビティは疑わしいはずです。 データ転送で使用されるポート番号とデフォルトのネットワークプロトコルで設定されたポート番号の不一致も、悪意のあるアクティビティを示している可能性があります。
代替プロトコルを介した流出
システム: Windows、Linux、macOS
説明:通常、データの抽出は、制御チャネル(C2)を編成するために敵が使用するプロトコルとは異なる代替プロトコルに従って実行されます。 代替プロトコルには、FTP、SMTP、HTTP / S、DNS、その他のネットワークプロトコル、およびクラウドストレージなどの外部Webサービスが含まれます。
保護の推奨事項:ファイアウォールの構成に関する推奨事項に従い、ネットワークからのトラフィックの出入りを許可されたポートのみに制限します。 たとえば、FTPサービスを使用してネットワーク外に情報を送信しない場合、ネットワーク境界の周りのFTPプロトコルに関連付けられたポートをブロックします。 制御チャネルの編成と流出の可能性を減らすには、DNSなどのサービスにプロキシサーバーと専用サーバーを使用し、システムが適切なポートとプロトコルを介してのみ通信できるようにします。
制御チャネルを整理し、データを抽出する既知の方法を検出および防止するには、署名ベースのトラフィック分析を使用するIDS / IPSシステムを使用します。 ただし、攻撃者は、セキュリティツールによる検出を回避するために、時間の経過とともに制御および流出プロトコルを変更する可能性があります。
異常なデータストリームのネットワークトラフィックの分析も検出手法として推奨されます(たとえば、クライアントはサーバーから受信するよりもはるかに多くのデータを送信します)。 使用されているポート番号とデフォルトのネットワークプロトコルで設定されているポート番号の不一致も、悪意のあるアクティビティを示している可能性があります。
コマンドアンドコントロールチャネルを介した流出
システム: Windows、Linux、macOS
説明:データの抽出は、攻撃者が制御チャネル(C2)として使用しているのと同じプロトコルに従って実行できます。
保護の推奨事項: IDS / IPSシステムを使用して、トラフィックのシグネチャ分析を整理し、制御チャネルとエクスフィルメントを整理する既知の手段を特定します。 異常なデータフローのトラフィックを分析します(たとえば、クライアントはサーバーから受信するよりもはるかに多くのデータを送信します)。 使用されているポート番号とデフォルトのネットワークプロトコルで設定されているポート番号の不一致も、悪意のあるアクティビティを示している可能性があります。
他のネットワーク媒体での流出
システム: Windows、Linux、macOS
説明:データの流出は、制御チャネル(C2)が編成されている環境とは異なるネットワーク環境で発生する可能性があります。 制御チャネルが有線インターネット接続を使用している場合、無線接続(WiFi、セルラーネットワーク、Bluetooth接続、または別の無線チャネル)を介して流出が発生する可能性があります。 アクセシビリティと近接性がある場合、攻撃者は代替のデータ伝送メディアを使用します。これは、その中のトラフィックが攻撃された企業ネットワークを経由せず、ネットワーク接続が安全であるか開いているためです。
保護に関する推奨事項:ホストセキュリティセンサーがすべてのネットワークアダプターの監査をサポートしていることを確認し、可能であれば新しいアダプターの接続を防止します。 ネットワークインターフェイスの追加または複製に関連するネットワークアダプター設定の変更を追跡および分析します。
物理的媒体上の流出
システム: Windows、Linux、macOS
説明:侵害されたネットワークの物理的な分離などの特定の状況下では、物理メディアまたはユーザーが接続したデバイスを介して流出が発生する可能性があります。 そのようなメディアは、外部ハードドライブ、USBドライブ、携帯電話、mp3プレーヤー、または情報を保存または処理するためのその他のリムーバブルデバイスです。 物理的な媒体またはデバイスは、敵が抽出の終点として、または隔離されたシステム間の移行のために使用できます。
保護に関する推奨事項:リムーバブルストレージデバイスの自動実行を無効にします。 組織のセキュリティポリシーレベルでリムーバブルデバイスの使用を禁止または制限します(業務に必要ない場合)。
物理環境を介した流出を検出する手段として、リムーバブルメディア上のファイルへのアクセスの監視、およびリムーバブルメディアが接続されたときに開始されるプロセスの監査を整理することをお勧めします。
予定転送
システム: Windows、Linux、macOS
説明:データの抽出は、1日の特定の時間または特定の間隔でのみ実行できます。 このような計画は、ネットワーク上の通常のトラフィックと抽出されたデータを混合するために使用されます。 計画的な抽出を使用する場合、制御チャネル(C2)および代替プロトコルを介した抽出など、他の情報漏洩方法も使用されます。
保護に関する推奨事項: IDS / IPSシステムと署名ベースのトラフィック分析の使用。 悪意のあるアクティビティを検出する手段として、ファイルへのプロセスのアクセスモデル、およびファイルシステムをスキャンしてネットワークトラフィックを送信するプロセスとスクリプトを監視することをお勧めします。 同じ日の同じ時刻に数日間発生する同じアドレスへのネットワーク接続は疑わしいはずです。