Изучаем Adversarial Tactics, Techniques & Common Knowledge (ATT@CK). Enterprise Tactics. Часть 9
Сбор данных (Collection)
Ссылки на все части:
Часть 1. Получение первоначального доступа (Initial Access)
Часть 2. Выполнение (Execution)
Часть 3. Закрепление (Persistence)
Часть 4. Повышение привилегий (Privilege Escalation)
Часть 5. Обход защиты (Defense Evasion)
Часть 6. Получение учетных данных (Credential Access)
Часть 7. Обнаружение (Discovery)
Часть 8. Боковое перемещение (Lateral Movement)
Техники сбора данных в скомпрометированной среде включают способы идентификации, локализации и непосредственно сбора целевой информации (например, конфиденциальных файлов) с целью её подготовки к дальнейшей эксфильтрации. Описание методов сбора информации также охватывает описание мест хранения информации в системах или сетях, в которых противники могут осуществлять её поиск и сбор.
Индикаторами реализации большинства представленных в ATT&CK техник сбора данных являются процессы, использующие API, WMI, PowerShell, Cmd или Bash для захвата целевой информации с устройств ввода/вывода либо множественного открытия файлов на чтение с последующим копированием полученных данных в определенное место в файловой системе или сети. Информация в ходе сбора данных может шифроваться и объединяться в архивные файлы.
В качестве общих рекомендаций по защите от сбора данных предлагаются выявление и блокировка потенциально-опасного и вредоносного ПО с помощью инструментов организации белых списков приложений, таких как AppLocker и Sofware Restriction Policies в Windows, шифрование и хранение «чувствительной» информации вне локальных систем, ограничение прав доступа пользователей к сетевым каталогам и корпоративным информационным хранилищам, применение в защищаемой среде парольной политики и двухфакторной аутентификации. Читать дальше →
Источник: Хабрахабр
