01 定义与手法
攻击者可以压缩、加密在泄露之前收集的数据。压缩数据可以帮助混淆收集到的数据,并尽量减少通过网络发送的数据量。加密可以用来隐藏在检测中泄漏出来的信息,或者在防御者检查时使泄漏不那么明显。
压缩和加密都是在泄露之前完成的,可以使用实用程序、第三方库或自定义方法来执行。
02 程序示例
03 缓解措施
|
名称 |
描述 |
|
审计 |
|
04 检测方法
|
ID |
数据来源 |
数据组件 |
检测方式 |
|
DS0017 |
命令 |
命令 执行 |
监视已执行的命令和操作参数,这些操作将有助于压缩或加密在泄漏之前收集的数据,例如tar。 |
|
DS0022 |
文件 |
文件 创建 |
监控使用与压缩或加密文件类型相关的扩展名、头文件写入的新建文件。检测工作可集中在后续的泄漏活动上,其中压缩或加密的文件可通过网络入侵检测或分析文件头的数据丢失预防系统检测到。 |
|
DS0009 |
进程 |
进程 创建 |
监视新构建的进程、命令行,这些进程、命令行有助于压缩或加密在泄漏之前收集的数据,例如7-Zip、WinRAR和WinZip。 |
|
DS0012 |
脚本 |
脚本 执行 |
监视启用在系统上运行的脚本尝试。如果脚本在系统上不常用,但是启用了,那么从修补程序或其他管理员功能中运行的脚本是可疑的。在可能的情况下,应该从文件系统中捕获脚本,以确定它们的操作和意图。 |
